安全与开发之间的关系往往没有得到最佳处理。这不是任何人的错,这只是他们工作的性质。安全团队的首要目标是保护组织免受应用程序安全问题的影响。不幸的是,由于开发和安全团队经常在孤岛中工作,他们往往会相互竞争优先级,从而在工作中产生摩擦。这些摩擦会在开发团队中形成一种恐惧文化,即开发人员习惯于安全团队将错误归咎于他们。这对开发人员的工作没有帮助,也不能使他们在开发过程中免于安全问题。我们需要的是将恐惧文化转变为共同责任,以便我们能够快速应对安全风险并加以修复。正如Cisco的WendyNather所说:安全建议旨在被采纳,而不是被强制执行。与其检查开发人员在应用程序开发过程中犯的错误,不如评估安全问题的响应和修复速度。每个人都想开发安全的应用程序。因此,我们需要将安全和开发无缝集成到一个工作流程中。这从安全团队如何与开发人员合作开始。在打破框框并消除摩擦的团队中,安全建议往往具有四个属性,可以简化工作流程并使开发人员和安全协作保持一致。可理解的安全对于一个开发者来说,最苦恼的莫过于从安全部门收到一份长达25页的文件,上面列出了正在开发的应用程序需要注意的安全事项。这些文件往往难以理解,阻碍了开发的进程。这是因为文档是用安全团队的语言而不是开发团队的语言编写的。例如,如果安全团队告诉开发人员保护授权代码免遭未经授权的泄露和修改,大多数开发人员都不知道这意味着什么。无论安全考虑多么重要,如果开发人员不理解,就很难实施。如果安全团队能够以开发人员可以接受的方式提供指导,并以开发人员可以理解的语言编写安全文档,则开发人员可以更好地解决安全问题。可操作的安全性清晰易懂的安全建议是必不可少的。如果安全团队不仅告诉开发人员需要修复什么,还告诉开发人员如何修复,那么开发人员的工作会更轻松,安全团队的建议也会更快得到实施。很少有开发人员精通安全,即使安全建议是可行的,开发人员也会花精力找出如何修复安全漏洞。为了帮助开发人员更好地了解安全性,切入正题非常重要。开发人员不需要了解有关安全问题的所有细节,强迫他们研究如何修补漏洞是一项吃力不讨好的任务。与所有开发人员一样,他们只想知道您希望他们做什么。因此,通过提供可操作的指导,让他们尽快进入绿色复选框。如果您以易于理解的语言告诉开发人员需要修复什么,并提供有关如何修复它的可操作指南,则自动化安全性。那么,您能否更进一步,将问题自动化?安全和开发团队之间的冲突部分是由于开发工作率高和自动化程度高,而安全工作率低和缺乏自动化。矛盾。安全团队应该利用自动化来替换word文档,以跟上开发团队的步伐。这个过程需要大量的时间和精力。我们需要将自动化融入到安全开发过程中,在部署前后扫描潜在的安全问题。当安全团队采用与开发团队相同类型的自动化时,他们能够更无缝地融入工作流程。及时安全安全应尽早安排到开发过程中,并融入现有的开发生命周期和工作流程中。开发人员无需等到下一阶段或下个月即可获得安全指导。如果在正确的时间引入安全性,开发人员可以在应用程序开发的早期弥合安全性和设计之间的差距,而不是等到应用程序部署之后。这种“左移”降低了风险并简化了开发人员和安全团队的工作流程。结束恐惧文化做出这些改变需要彻底的文化转变。我们需要摆脱孤立恐惧的文化,转向安全和开发团队共同承担责任的集成、现代、自动化的工作流程。这需要衡量成就——例如解决问题的速度——而不是衡量缺点。这种文化转变将安全团队定位为开发人员值得信赖的顾问,并营造出一种确保每个应用程序在设计上都是安全的感觉。点评无论是开发团队还是安全团队,其最终目的都是为业务服务。由于两个部门工作的方方面面不同,难免会有摩擦,所以处理好两个部门之间的关系就显得尤为重要。安全和开发团队之间存在共生关系。在开发重视安全的同时,安全人员也要站在开发的角度进行针对性的安全指导。
