填补安全与开发团队之间鸿沟的四个重点
发布时间:2022-06-22 13:27:21 所属栏目:安全 来源:互联网
导读:安全和开发之间的关系往往无法获得最佳的处理。这不是谁的错,而恰恰是他们工作的本质。安全团队最首要的目标是保护组织不受应用安全问题的威胁。不幸的是,由于开发团队和安全团队经常各自为政,所以他们往往会互相争夺优先级,从而在工作上产生摩擦。 这要
安全和开发之间的关系往往无法获得最佳的处理。这不是谁的错,而恰恰是他们工作的本质。安全团队最首要的目标是保护组织不受应用安全问题的威胁。不幸的是,由于开发团队和安全团队经常各自为政,所以他们往往会互相争夺优先级,从而在工作上产生摩擦。 这要从安全团队如何与开发人员合作开始。在那些打破条条框框并消除摩擦的团队中,安全建议往往有四个属性,这些建议可以简化工作流程,协调开发人员与安全人员的合作。 可理解的安全 对于一个开发人员来说,最让人苦恼的莫过于,从安全部门那里,收到一份25页的文档,里面列出了正在开发的应用所需要注意的安全事项。这些文档往往是难以理解的,并且阻碍了开发的进度。这是由于文档是用针对安全团队的语言,而非是针对开发团队的语言来撰写的。 例如,如果安全团队嘱咐开发人员说:保护好授权码,使其免受未授权的披露和修改,那么大部分开发人员都不知道这是什么意思。无论多么重要的安全注意事项,如果开发人员不能理解的话,那么该安全事项也很难得到实施。如果安全团队能够以一种开发人员可以接受的方式提供指导,并用开发人员可以理解的语言来撰写安全文档,那么开发人员就能更好地解决安全问题。 自动化的安全 如果你已经以一种可理解的语言来告诉开发人员需要修复什么,并用可行的指导来使其明白该如何进行修复。那么,你可以进一步地以自动化的方式来解决问题吗? 安全与开发团队之间的矛盾,部分体现在:开发工作的高速率以及大量的自动化与安全工作的低速率以及自动化的匮乏之间的矛盾。安全团队应利用自动化来代替word文档,从而跟上开发团队的速度。这个过程需要预先投入大量的时间与精力。我们需要将自动化融入到安全开发流程中,以便在部署前后扫面潜在的安全问题。 当安全团队运用与开发团队同种类型的自动化时,他们就能够更加无缝地融入到工作流程中。 适时的安全 安全应该被尽早地安排进开发流程,并融入到现有的开发生命周期以及工作流程中。而不是等到下一个阶段或下一个月,开发人员才得到安全指导。 如果在合适的时间就引入安全性,那么开发人员在应用开发的初期,就可以弥补安全与设计之间的差距,而不是等到部署应用之后才修补。 这种“左移”降低了风险的同时,也简化了开发人员与安全团队的工作流程。 结束恐惧文化 做出这些改变需要完成文化的转变。我们需要摆脱孤立的恐惧文化,转向集成的、现代化的、自动化的工作流程,让安全和开发团队共同承担责任。 这需要衡量成就——比如解决问题的速度,而不是衡量缺点。这种文化转变,将安全团队定位为开发人员值得信赖的顾问,并且创造了一种确保每一个应用在设计上就是安全的意识。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |