虽然对任何在软件开发之外工作的人来说，这可能是反直觉的，但多年来，许多受雇于应用安全的专业人员都在这些关键岗位上工作，几乎没有编程经验。这些应用安全专业人员是团队的一部分，他们负责确保没有漏洞潜入已成为许多行业和组织命脉的应用程序，但他们中很少有人能真正直接评估或修复代码。 

许多安全专家不是来自编码背景，而是从围绕攻击载体、威胁、漏洞和商业风险的关键知识的角度来对待他们的角色；他们对代码的看法有限。虽然不是每个AppSec大师都有相同的技能，但许多人的典型工作包括与代码审查员和扫描工具合作，以确保程序和系统按照组织标准或相关行业和政府框架进行安全。然后他们写出关于他们的发现的报告，并发回关于可能破坏代码的攻击载体的信息。然后由开发人员进行必要的修复，无论这对当前的工作有多大的干扰。

情况之所以发展成这样，是因为多年来的普遍逻辑是，保护网络和应用程序的工作非常庞大，期望每个从事网络安全的人都能胜任每个角色是没有意义的。深度编码技能被留给了开发人员，而对编写或编辑开发管道中更远处的代码的能力则没有给予重视。

这种心态正在迅速改变，这为开发人员提供了一个独特的机会，使他们能够跳槽到AppSec，并实现职业转变。 不是每个开发人员都想拥抱所谓的黑暗面，许多开发人员对AppSec团队的意见并不特别积极。但对于那些愿意的人来说，现在是抓住这个越来越诱人的铜环的最好时机。

DevSecOps几乎推动了每个行业的发展

在任何组织中，提高安全意识的程序员和开发人员的价值的最大因素之一，是几乎普遍地接受更敏捷的开发实践，如DevSecOps。当开发、安全和运营结合在一起时，网络安全就会成为一种共同的责任，从头到尾融入新软件的开发。在这种环境下，编码能力越来越多地被看作是一种宝贵的资产，这对那些天生就懂得安全的工程师来说尤其如此。

一个不仅对网络安全有高度了解，而且还了解使一切运作的代码的应用安全专业人员，对任何组织来说都比那些知识集中在理论上的人更有价值。能够快速发现和评估代码中的漏洞，然后缓解这些问题，是DevSecOps如此受欢迎的核心原因。

在AppSec工作的开发人员还为任何雇用他们的组织带来另一个很大的优势。他们来自开发部门，因此很容易与开发人员讨论安全和漏洞问题。这也使得他们更容易成为开发团队的教练，帮助他们成为更好的编码者。随着时间的推移，他们甚至能够消除AppSec的 "黑暗面 "的污名，并帮助统一整个组织的软件开发团队。

网络安全技能短缺的情况越来越严重

莎士比亚曾说过，这是一股恶风，吹不动任何人。他的意思是，即使是最黑暗的情况也可能对某人有利。网络安全技能的短缺就是一个很好的例子。

几乎所有的地方都能敏锐地感受到人员的短缺。在战略与国际研究中心最近进行的一项调查中，82%的IT决策者表示，他们的组织遭受了网络安全技能的短缺，71%的人表示，这种短缺已经对他们的组织造成了直接和可衡量的损害。为了更好地看待这一危机，该报告指出，仅在美国，2020年就有超过52万个网络安全职位未被填补，而这一领域只有约94万名雇员。

对于试图保护其基础设施、业务和数据免受日益危险的威胁的组织来说，网络安全人员的短缺是个坏消息。但对于希望进入AppSec和安全领域的开发者来说，这也是一个好机会。机会是，网络安全和AppSec职位几乎到处都有。随着网络安全职位如今平均需要多花21%的时间来填补，工资也在全面上涨。

跃升至应用安全

对于开发人员来说，现在可能是最好的时机，让他们跳到生活中阳光灿烂的安全方面去，这是很有利可图的。有安全意识的开发人员不再被视为只是权宜之计的安全方法的一部分，而是作为网络安全防御者填补了一个完整和受尊重的角色。这对于那些接受了DevSecOps和其他更敏捷的开发方法的组织来说尤其如此。而网络安全人才的短缺意味着几乎每个公司、政府机构或组织都有职位。那些拥有正确技能的人可以选择他们想工作的地方。

转移到AppSec可能不适合每个人，当然，大多数开发人员将继续专注于构建惊人的功能。但对于那些正在考虑跳槽的人来说，投资于安全培训以增强他们现有的编码技能可以打开很多大门。最好的AppSec人员来自工程领域，因为他们深刻理解技术，并对其他开发者的困境感同身受。DevSecOps意味着无论如何现在每个人都要对安全负责，所以为什么不利用目前关键技能的短缺来推动你的职业生涯进入应用安全呢？现在是为你自己、你的家人和你的事业做出积极行动的最好时机。