想要成为一名合格的DevSecOps工程师，需要拥有独特的技能和实践经验。DevSecOps工程师应该深入了解安全性如何影响开发流程的每个阶段以及最终的产品或服务。同样重要的是他们需要成为具有良好沟通技巧的团队成员。

这个角色并不适合那些喜欢独立工作的人。为了识别差距并将安全性嵌入到DevOps流程，DevSecOps工程师通常需要与其职位持怀疑态度或不了解的同事合作。若想要要赢得他们的尊重和合作，这里需要非常熟悉DevOps流程和原则，而不仅仅是IT安全专业人员的技术技能。理想的DevSecOps工程师参与并欣赏软件项目生命周期中的每个阶段，从初始设计和构建到部署和维护。在持续集成/连续交付（CI / CD）环境中，DevSecOps工程师还需要在关键任务时间压力下工作。

为了与DevOps团队成功合作，DevSecOps工程师需要全面了解流行的编程语言，例如PHP、Java、JavaScript、Ruby和Python。最好还要熟悉流行的CI / CD工具，例如Jenkins、GitLab CI / CD、CircleCI、Puppet、Chef和Spinnaker。DevSecOps候选者应该掌握Docker和Kubernetes的最新情况，以及云托管服务提供商（例如AWS和微软）–取决于企业使用的工具和服务。

为了在DevSecOps中提供安全性，最重要的是，掌握威胁建模、风险评估技术、代码审查、最佳做法和最新网络安全威胁的最新知识。DevSecOps工程师应选择并部署正确的自动化应用程序安全测试工具。他们有责任让用户了解如何充分利用应用程序安全功能。

现在软件项目已成为不同活动部件（包括人力和机器）的复杂混合体。诚然，知识和技能可以在工作中获得。但是，正式培训（例如行业标准认证）也很重要，以真正理解DevOps原则和方法。你可以尝试获得认证资格或DevOps认证，这可使你从工程师候选者中脱颖而出。在这方面，建议获取DevOps Institute的DevOps Foundation认证和DevSecOps Engineering认证或Practical DevSecOps的DevSecOps Professional认证。其他相关资格认证包括Certified Ethical Hacker、Certified Secure Software Lifecycle Professional、GIAC（全球信息保障认证）移动设备安全分析师和ISO 27001。微软、AWS和思科也提供有价值的认证。如果这些认证与DevSecOps项目相关，那么这可能是成为更好的工程师候选者的好方法。此外，SANS Institute还提供.NET和Java / Java Enterprise Edition的安全编码课程，其中教授如何安全地构建应用程序以及如何识别其他程序员的安全缺陷。

在正在从DevOps迁移到DevSecOps的公司中，DevSecOps工程师面临的挑战是说服可能持怀疑态度的开发人员：安全不会减慢他们的速度。为确保开发人员了解安全代码审查是代码提交过程的要求，这里需要外交技巧。工程师需要表现出耐心，并能够解释各种检查和审查将如何改进每个开发人员的工作。这可能是一个挑战。毕竟，开发人员主要关注的是尽快运行代码。

当开发人员认识到在设计或代码开发早期阶段发现漏洞的好处时，你可以更容易地进展到成熟DevSecOps模型。为了表明安全可改进每个团队的整体工作流程，好的做法是通过指标测量在提交代码前检测和修复的问题数量。

当开发人员和运营团队考虑每个设计决策的安全影响，特别是当开发人员开始享受构建安全软件的乐趣时，那么这项工作就会做得很好。