隨著云計算和企業(yè)數(shù)字化轉(zhuǎn)型的加速發(fā)展，應(yīng)用安全領(lǐng)域的性質(zhì)發(fā)生了很大的變化。比如目前，安全界存在著這樣一種聲音：即便應(yīng)用安全還沒死，它的日子也是屈指可數(shù)了!

[[225180]]

必須承認這種說法過于夸張，不要擔(dān)心，作為一名應(yīng)用程序安全工程師，您所做的工作實際上將變得比以往任何時候都更重要，這一點將很快反映在您的預(yù)算上。應(yīng)用安全永遠不會消失，但它將不得不進行成功轉(zhuǎn)型。

作為企業(yè)安全的一個子集，應(yīng)用安全已經(jīng)存在了超過15年的時間。自21世紀初以來，應(yīng)用安全專家已經(jīng)為評估網(wǎng)站和銷售應(yīng)用程序滲透測試做出了突出成績。但是如今，越來越多的此類專家正在將其頭銜從“應(yīng)用安全工程師”改為“產(chǎn)品安全工程師”。這一變化不僅僅是一種語義的轉(zhuǎn)變，它還反映了企業(yè)安全性質(zhì)的真正變化。為了進一步了解其重要性，接下來將為大家分析兩大行業(yè)趨勢——向云遷移以及企業(yè)數(shù)字化轉(zhuǎn)型為其帶來的影響。

移至云端

云，DevOps(開發(fā)運維)和敏捷開發(fā)的迅速崛起，使得安全團隊越來越難以跟上技術(shù)發(fā)展的步伐。由于應(yīng)用程序是使用as-a-service(即服務(wù))平臺，基礎(chǔ)架構(gòu)和功能產(chǎn)品(如亞馬遜網(wǎng)絡(luò)服務(wù)AWS、Pivotal和Lambda)構(gòu)建的，傳統(tǒng)的基于網(wǎng)絡(luò)和主機的安全模型現(xiàn)在由第三方提供商掌握。這種抽象縮小了安全邊界，并迫使傳統(tǒng)的企業(yè)安全專家更新其技能。

與此同時，我們也看到了DevOps安全專家的興起。過去，應(yīng)用程序安全團隊主要負責(zé)代碼的安全性，并運行靜態(tài)和動態(tài)分析工具來幫助開發(fā)團隊審核其輸出?，F(xiàn)在，這些技術(shù)正在重塑為更加以開發(fā)者為中心的模型，主要由開發(fā)人員和運營團隊負責(zé)分析、保護和修復(fù)自己的代碼和部署。如此一來，可謂是減輕了已經(jīng)負載過重的應(yīng)用安全團隊的工作量，并將安全所有權(quán)置于其所屬的位置——即一開始構(gòu)建應(yīng)用程序的團隊手中。此外，將應(yīng)用程序安全性集成到持續(xù)集成/交付管道中，還可以實時地進行安全驗證，這一直是應(yīng)用程序安全專家的夢想。

數(shù)字化轉(zhuǎn)型

另一個起到重要影響作用的行業(yè)趨勢是，企業(yè)業(yè)務(wù)開始從傳統(tǒng)模式向數(shù)字化方向轉(zhuǎn)型。各類企業(yè)正在將數(shù)字技術(shù)整合到其產(chǎn)品、服務(wù)以及運營等所有領(lǐng)域之中，以支持實現(xiàn)價值的新方式。

隨著產(chǎn)品開始大規(guī)模的在線移動，安全專家的領(lǐng)域也隨之迅速擴大。應(yīng)用程序不再僅限于內(nèi)部重點支持系統(tǒng)——它們現(xiàn)在已經(jīng)成為企業(yè)組織的命脈，也是其最重要的收入來源。專注于保護少數(shù)Web應(yīng)用程序已經(jīng)遠遠不夠了;應(yīng)用安全工程師現(xiàn)在不僅必須保障整個產(chǎn)品線的安全性，還需要保護業(yè)務(wù)本身。

產(chǎn)品安全重要性日顯

由此看來，從“應(yīng)用程序安全工程師”變成“產(chǎn)品安全工程師”不僅僅是職位頭銜的轉(zhuǎn)變，同時也意味著安全思考方式發(fā)生了轉(zhuǎn)變。云、DevOps、敏捷開發(fā)以及它們所實現(xiàn)的數(shù)字化轉(zhuǎn)型已經(jīng)使傳統(tǒng)的“以應(yīng)用程序為中心”的安全性視角變得過時。應(yīng)用安全已經(jīng)不再只是關(guān)于保護少數(shù)業(yè)務(wù)線應(yīng)用程序的問題。

應(yīng)用安全工程師現(xiàn)在需要負責(zé)為客戶創(chuàng)造價值的產(chǎn)品的安全性，并推動競爭差異化和推進企業(yè)戰(zhàn)略。

如今的風(fēng)險成本已經(jīng)達到了前所未有的高度。受損的內(nèi)部生產(chǎn)力應(yīng)用程序可能會造成暫時服務(wù)中斷或延遲操作，但是客戶手中受損的核心產(chǎn)品或服務(wù)則可能會對業(yè)務(wù)本身造成毀滅性的打擊。

這種區(qū)別可能看起來很微妙，但您可以通過下述問題得到驗證：詢問一下您的企業(yè)主管，他曾有多少個夜晚因擔(dān)心公司應(yīng)用程序的完整性而失眠，對此，他們可能會回應(yīng)你一個茫然的眼神。那么現(xiàn)在，問一個同樣的有關(guān)公司產(chǎn)品完整性的問題，再看看他們的反應(yīng)。

安全工程師正在逐漸接受這種“以產(chǎn)品為中心”的新的角色概念。希望這種轉(zhuǎn)變能夠幫助應(yīng)用安全專家意識到他們工作日益增長的重要性，并幫助他們獲取更多的預(yù)算、資源和工具，以確保為其業(yè)務(wù)提供支持的產(chǎn)品的安全性，以及推動新型數(shù)字經(jīng)濟業(yè)務(wù)發(fā)展。