这是我刚刚走的职业道路（或者真的处于中间阶段）。正如纪尧姆所说，最好的开始是在您当前的工作中关注安全性。这可能意味着您目前的工作，或者可能意味着您有机会专注于安全性的类似开发职位。

我所说的“专注于”安全是什么意思？如果您的开发团队已经遵循安全开发生命周期，请承担作为该 SDL 一部分的某些任务的责任。如果没有，请开始引入这些任务并引领 SDL 的采用。

纪尧姆和我的不同之处在于第 2 步：我没有获得也仍然没有 CISSP 或任何其他行业证书，尽管我确实拥有包含安全内容的研究生软件工程资格。不过，这对于进入软件安全并不是必需的：我采取的方法是出去寻找开发人员并与他们讨论安全问题。这意味着会议演讲、播客、博客文章……我什至写了一本书。很快你就会在你所选择的领域被认可为“安全人员”，然后工作就来找你了。

我也不同意您失去编码能力。我现在做的很多事情都是编程：要么为客户端产品实施安全控制，要么编写测试来研究平台安全特性，要么使用示例代码向其他开发人员展示安全问题。

大约 6 年前，我搬家了。简而言之 ：

1. 在您当前的工作中从事安全工作
2. 获取您的 CISSP 或同等学历
3. 在您熟悉的编程环境（Java、.Net、Linux 等）中找到一份安全工作
4. 永不回头

我开始在我的开发项目中处理所有与安全相关的任务（当时我是团队负责人）。

我通过了 CISSP 认证并等待了几个月。

有一个机会，安全团队需要具有强大技术专长的人来平衡一个主要由网络专家或安全策略专家组成的团队。

我回去开发了一整年，让我警告你：这是一条单行道。你会失去新的东西，但你会失去编写代码盲折的能力；）

我的背景是 IT - 长期的系统和网络管理员，我有点陷入安全问题，因为它占用了我越来越多的日常工作......但你不能指望这种事情发生在你身上；

我会用这个来补充@Guillaume的观点：

网络——在人们的意义上——是关键。

根据您的关注点找到您当地的 OWASP、ISACA、ISSA、ISF 分会，并加入邮件列表，参加会议……更好的是，自愿主持、参加委员会，甚至发表演讲（即使行业新手，您将对自己的专业领域有自己的看法）

广为人知——这会给你更多的机会。这总是一个简单的事实——你可能适合某个角色，但如果人们不认识你，你永远不会知道......

至于证书，CISSP 很有用，CISM 也是如此——它们在招聘人员中的得分都很高（实际上你应该看看这个关于专业认证的问题）