安全和開(kāi)發(fā)之間的關(guān)系往往無(wú)法獲得最佳的處理。這不是誰(shuí)的錯(cuò)，而恰恰是他們工作的本質(zhì)。安全團(tuán)隊(duì)最首要的目標(biāo)是保護(hù)組織不受應(yīng)用安全問(wèn)題的威脅。不幸的是，由于開(kāi)發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)經(jīng)常各自為政，所以他們往往會(huì)互相爭(zhēng)奪優(yōu)先級(jí)，從而在工作上產(chǎn)生摩擦。

這些摩擦?xí)归_(kāi)發(fā)團(tuán)隊(duì)產(chǎn)生一種恐懼文化，也就是說(shuō)，開(kāi)發(fā)人員已經(jīng)習(xí)慣了安全團(tuán)隊(duì)責(zé)怪他們出錯(cuò)。這對(duì)開(kāi)發(fā)人員的工作并沒(méi)有任何幫助，也無(wú)法使他們?cè)陂_(kāi)發(fā)時(shí)避免安全問(wèn)題。而我們需要的是，將恐懼文化轉(zhuǎn)變?yōu)樨?zé)任共擔(dān)，從而實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的快速響應(yīng)，并將其修復(fù)。正如Cisco公司的 Wendy Nather 所說(shuō)：安全建議是用來(lái)采納，而不是被迫執(zhí)行的。

與其檢查開(kāi)發(fā)人員在應(yīng)用開(kāi)發(fā)過(guò)程中產(chǎn)生的錯(cuò)誤，倒不如評(píng)估安全問(wèn)題的響應(yīng)及修復(fù)速度。所有人都希望開(kāi)發(fā)的應(yīng)用是安全的。所以我們需要將安全和開(kāi)發(fā)無(wú)縫地集成到一個(gè)工作流程中。

這要從安全團(tuán)隊(duì)如何與開(kāi)發(fā)人員合作開(kāi)始。在那些打破條條框框并消除摩擦的團(tuán)隊(duì)中，安全建議往往有四個(gè)屬性，這些建議可以簡(jiǎn)化工作流程，協(xié)調(diào)開(kāi)發(fā)人員與安全人員的合作。

可理解的安全

對(duì)于一個(gè)開(kāi)發(fā)人員來(lái)說(shuō)，最讓人苦惱的莫過(guò)于，從安全部門那里，收到一份25頁(yè)的文檔，里面列出了正在開(kāi)發(fā)的應(yīng)用所需要注意的安全事項(xiàng)。這些文檔往往是難以理解的，并且阻礙了開(kāi)發(fā)的進(jìn)度。這是由于文檔是用針對(duì)安全團(tuán)隊(duì)的語(yǔ)言，而非是針對(duì)開(kāi)發(fā)團(tuán)隊(duì)的語(yǔ)言來(lái)撰寫的。

例如，如果安全團(tuán)隊(duì)囑咐開(kāi)發(fā)人員說(shuō)：保護(hù)好授權(quán)碼，使其免受未授權(quán)的披露和修改，那么大部分開(kāi)發(fā)人員都不知道這是什么意思。無(wú)論多么重要的安全注意事項(xiàng)，如果開(kāi)發(fā)人員不能理解的話，那么該安全事項(xiàng)也很難得到實(shí)施。如果安全團(tuán)隊(duì)能夠以一種開(kāi)發(fā)人員可以接受的方式提供指導(dǎo)，并用開(kāi)發(fā)人員可以理解的語(yǔ)言來(lái)撰寫安全文檔，那么開(kāi)發(fā)人員就能更好地解決安全問(wèn)題。

可行的安全

清晰且容易理解的安全建議是最基本的。如果安全團(tuán)隊(duì)并不僅僅只是告訴開(kāi)發(fā)人員什么需要修復(fù)，而是一并地告訴他們?nèi)绾涡迯?fù)，那么開(kāi)發(fā)人員的工作就會(huì)更加的輕松，并且安全團(tuán)隊(duì)提出的建議也能更快地得到實(shí)施。很少有開(kāi)發(fā)人員精通安全，即使安全建議是可行的，開(kāi)發(fā)人員仍要花費(fèi)精力來(lái)弄明白如何才能修復(fù)安全缺陷。

要幫助開(kāi)發(fā)人員更好地理解安全，就必須開(kāi)門見(jiàn)山。開(kāi)發(fā)人員不需要明白關(guān)于安全問(wèn)題的種種細(xì)節(jié)，并且，強(qiáng)迫他們研究如何修補(bǔ)漏洞更是件費(fèi)力不討好的事。對(duì)于所有的開(kāi)發(fā)人員來(lái)說(shuō)，他們想知道的僅僅是你希望他們做什么。所以，通過(guò)提供可行的指導(dǎo)，來(lái)讓他們盡快進(jìn)入到綠色復(fù)選框吧。

自動(dòng)化的安全

如果你已經(jīng)以一種可理解的語(yǔ)言來(lái)告訴開(kāi)發(fā)人員需要修復(fù)什么，并用可行的指導(dǎo)來(lái)使其明白該如何進(jìn)行修復(fù)。那么，你可以進(jìn)一步地以自動(dòng)化的方式來(lái)解決問(wèn)題嗎?

安全與開(kāi)發(fā)團(tuán)隊(duì)之間的矛盾，部分體現(xiàn)在：開(kāi)發(fā)工作的高速率以及大量的自動(dòng)化與安全工作的低速率以及自動(dòng)化的匱乏之間的矛盾。安全團(tuán)隊(duì)?wèi)?yīng)利用自動(dòng)化來(lái)代替word文檔，從而跟上開(kāi)發(fā)團(tuán)隊(duì)的速度。這個(gè)過(guò)程需要預(yù)先投入大量的時(shí)間與精力。我們需要將自動(dòng)化融入到安全開(kāi)發(fā)流程中，以便在部署前后掃面潛在的安全問(wèn)題。

當(dāng)安全團(tuán)隊(duì)運(yùn)用與開(kāi)發(fā)團(tuán)隊(duì)同種類型的自動(dòng)化時(shí)，他們就能夠更加無(wú)縫地融入到工作流程中。

適時(shí)的安全

安全應(yīng)該被盡早地安排進(jìn)開(kāi)發(fā)流程，并融入到現(xiàn)有的開(kāi)發(fā)生命周期以及工作流程中。而不是等到下一個(gè)階段或下一個(gè)月，開(kāi)發(fā)人員才得到安全指導(dǎo)。

如果在合適的時(shí)間就引入安全性，那么開(kāi)發(fā)人員在應(yīng)用開(kāi)發(fā)的初期，就可以彌補(bǔ)安全與設(shè)計(jì)之間的差距，而不是等到部署應(yīng)用之后才修補(bǔ)。

這種“左移”降低了風(fēng)險(xiǎn)的同時(shí)，也簡(jiǎn)化了開(kāi)發(fā)人員與安全團(tuán)隊(duì)的工作流程。

結(jié)束恐懼文化

做出這些改變需要完成文化的轉(zhuǎn)變。我們需要擺脫孤立的恐懼文化，轉(zhuǎn)向集成的、現(xiàn)代化的、自動(dòng)化的工作流程，讓安全和開(kāi)發(fā)團(tuán)隊(duì)共同承擔(dān)責(zé)任。

這需要衡量成就——比如解決問(wèn)題的速度，而不是衡量缺點(diǎn)。這種文化轉(zhuǎn)變，將安全團(tuán)隊(duì)定位為開(kāi)發(fā)人員值得信賴的顧問(wèn)，并且創(chuàng)造了一種確保每一個(gè)應(yīng)用在設(shè)計(jì)上就是安全的意識(shí)。

點(diǎn)評(píng)

無(wú)論是開(kāi)發(fā)團(tuán)隊(duì)還是安全團(tuán)隊(duì)，其最終目的都是服務(wù)于業(yè)務(wù)。由于兩部門工作所針對(duì)的方面不同，難免會(huì)產(chǎn)生摩擦，所以處理好兩部門的關(guān)系尤為關(guān)鍵。安全與開(kāi)發(fā)團(tuán)隊(duì)之間有著互利共生的聯(lián)系。在開(kāi)發(fā)重視安全的同時(shí)，安全人員也應(yīng)該站在開(kāi)發(fā)的角度來(lái)有針對(duì)性地為其提供安全指導(dǎo)。