Roadmap: Od nule do Cybersecurity Inženjera / DevSecOps (Vodič za 2026-2030.)

Zaboravite filmove gde hakeri u kapuljačama kucaju po tastaturi brzinom svetlosti dok zelena slova padaju po ekranu. Stvarni Cybersecurity je mnogo više inženjering i analitika, a mnogo manje „probijanje firewall-a“ u poslednjoj sekundi.

U 2026. godini, najtraženiji profil nije onaj ko samo „gasi požare“ (Incident Response), već onaj ko gradi sisteme otporne na vatru. To je DevSecOps inženjer – osoba koja ugrađuje bezbednost u svaki korak razvoja softvera.

Ovo je plan kako da dođete do te pozicije.

FAZA 1: „Digitalni vodoinstalater“ – Mreže i OS (Trajanje: 4-6 meseci)

Cilj: Ne možete da hakujete (niti odbranite) ono što ne razumete.

Ovo je najdosadnija, ali najkritičnija faza. Mnogi „hakeri“ sa kurseva padnu ovde jer ne znaju šta je IP adresa.

1. Umrežavanje (Networking)

Internet je mreža. Morate znati kako podaci putuju.

• Ključni koncepti: OSI model (naučite svih 7 slojeva napamet), TCP/IP handshake, DNS (kako internet „imenuje“ stvari), HTTP/HTTPS, Subnetting (kako se dele IP adrese).

• Alat: Wireshark. Instalirajte ga i gledajte saobraćaj na svojoj kućnoj mreži. Vidite šta vaš telefon šalje Google-u. To je prvo „otvaranje očiju“.

• Sertifikat za učenje (ne morate polagati, samo učite gradivo): CompTIA Network+.

2. Operativni sistemi: Linux je zakon

Windows je za igrice. Bezbednost se radi na Linux-u.

• Distribucije: Instalirajte Ubuntu (za servere) i Kali Linux (za napad/testiranje) u virtuelnoj mašini.

• Veštine: Terminal (Bash), upravljanje permisijama (chmod, chown), procesi, sistemski logovi. Morate se osećati u komandnoj liniji kao kod kuće.

FAZA 2: Kodiranje i skripting (Trajanje: 4-6 meseci)

Cilj: Automatizacija odbrane i razumevanje napada.

Hakeri koriste skripte. Vi morate biti bolji od njih.

1. Python (Opet on)

Python je „švajcarski nož“ za sajber bezbednost.

• Primena: Pisanje skripti za skeniranje mreže, automatizacija analize logova, kreiranje jednostavnih „keylogger-a“ (u edukativne svrhe).

• Knjiga: „Black Hat Python“ (Justin Seitz) – klasik koji vas uči kako da koristite Python za ofanzivne zadatke (da biste razumeli kako da se branite).

2. Bash Scripting

Za automatizaciju zadataka na Linux serverima.

3. Čitanje tuđeg koda

Ne morate biti developer, ali morate znati da pročitate JavaScript ili PHP kod i kažete: „Hej, ovde fali validacija unosa, ovo je rupa za SQL Injection napad!“

FAZA 3: Ofanziva i defanziva (Trajanje: 6-8 meseci)

Cilj: Naučite kako se napada (Red Team) da biste znali kako se brani (Blue Team).

Ovo je najzabavniji deo. Učite kroz igru.

1. Web Application Security

Najveći broj napada ide preko web sajtova.

• Biblija: OWASP Top 10. Ovo je lista 10 najopasnijih ranjivosti (SQL Injection, XSS, Broken Auth…). Naučite svaku, kako radi i kako se sprečava.

• Alat: Burp Suite. Ovo je standardni alat za testiranje bezbednosti web aplikacija. Naučite „Community“ (besplatnu) verziju.

2. Gamified Learning (Učenje kroz igru)

Nemojte hakovati komšiju (to je ilegalno). Vežbajte na legalnim poligonima.

• Platforme:

  • TryHackMe: Savršeno za početnike. Vode vas za ruku kroz „sobe“.

  • Hack The Box: Malo naprednije, realni scenariji.

  • PortSwigger Academy: Besplatna obuka za web bezbednost (kreatori Burp Suite-a).

FAZA 4: DevSecOps i Cloud Security (Trajanje: 12 meseci)

Cilj: Moderno tržište rada (2026).

Ovde prelazite iz „hobiste“ u profesionalca koga firme traže.

1. Cloud Bezbednost (AWS/Azure)

Sve firme su na cloudu. Bezbednost cloud-a je drugačija od „on-premise“ bezbednosti.

• Koncepti: IAM (Identity Access Management – ko ima ključ?), Security Groups (firewall u oblaku), S3 Bucket policies (da podaci ne iscure).

• Sertifikat: AWS Certified Security – Specialty (Ciljajte ovo dugoročno).

2. CI/CD Pipeline Security

Ovo je suština DevSecOps-a. Kako ubaciti bezbednost u proces izrade softvera.

• Alati:

  • SAST (Static Application Security Testing): Alati koji skeniraju kod dok se piše (npr. SonarQube).

  • SCA (Software Composition Analysis): Alati koji proveravaju da li koristite zastarele biblioteke (npr. Snyk ili Trivy).

• Zadatak: Naučite kako da konfigurišete GitHub Actions da automatski blokira „build“ ako nađe bezbednosnu rupu.

3. Kontejnerska bezbednost

Docker i Kubernetes su standard. Hakeri napadaju loše konfigurisane kontejnere.

• Alat: Naučite kako da skenirate Docker image na ranjivosti pre nego što ode u produkciju.

KONKRETAN PROJEKAT ZA PORTFOLIO (Primer)

Ovaj projekat pokazuje da niste samo „skriptaš“, već inženjer.

Naziv projekta: „Secure CI/CD Pipeline sa automatskim skeniranjem ranjivosti“

1. Aplikacija: Napravite (ili forkujte) jednostavnu Python web aplikaciju koja namerno ima par rupa (npr. koristi staru biblioteku).

2. Pipeline: Podesite GitHub Actions ili GitLab CI.

3. Integracija alata:

   • Ubacite Trivy (skener) u pipeline.

   • Konfigurišite ga tako da, kada probate da gurnete kod (git push), Trivy skenira fajlove.

   • Ako nađe ranjivost „High Severity“, pipeline mora da pukne (Fail) i da vam pošalje e-mail ili Slack poruku sa izveštajem.

4. Dokumentacija: Napišite README.md gde objašnjavate kako ste zaštitili aplikaciju.

Ovo je „zlatni gral“ za poslodavce u 2026. Pokazuje da razumete moderni razvoj softvera i bezbednost.

Sertifikati: Koji vrede, a koji su bacanje para?

U sajber bezbednosti, papiri znače više nego u programiranju (naročito za banke i državne firme).

1. Početni nivo: CompTIA Security+. Dobra osnova, HR je voli.

2. Srednji / Tehnički nivo:

   • eJPT (eLearnSecurity Junior Penetration Tester): Praktičan ispit, mnogo bolji od teorijskog CEH-a.

   • OSCP (Offensive Security Certified Professional): Najpoznatiji i najteži ispit za pentestere. Traje 24 sata, morate hakovati 5 mašina. Ako imate ovo, posao je zagarantovan.

3. Menadžerski nivo (kasnije): CISSP. Ovo je za seniore sa 5 godina iskustva.

Lista resursa (Gde učiti?)

Besplatno:

• YouTube:

  • NetworkChuck (Fenomenalan za učenje mreža i Linux-a od nule).

  • John Hammond (Analiza malware-a i CTF takmičenja).

  • LiveOverflow (Duboka tehnička analiza, za napredne).

• OWASP.org: Sve o web bezbednosti.

Plaćeno:

• TryHackMe pretplata: (Oko 10$ mesečno) – Najbolja investicija za početak.

• TCM Security (The Cyber Mentor): Njihov kurs „Practical Ethical Hacking“ je verovatno najbolji odnos cene i kvaliteta na tržištu.

Savet za kraj: „Imposter Syndrome“ je normalan

U sajber bezbednosti ćete se svaki dan osećati kao da ništa ne znate. To je normalno. Tehnologija se menja prebrzo da bi iko znao sve. Ključna osobina dobrog inženjera bezbednosti nije da zna sve napamet, već da zna gde da traži i da ne odustaje kada naiđe na zid.

Hakeri moraju da budu u pravu samo jednom. Vi morate biti u pravu svaki put. Pritisak je veliki, ali je nagrada (i finansijska i mentalna) ogromna.