安全和開發(fā)之間的關(guān)系往往無法獲得最佳的處理。這不是誰的錯，而恰恰是他們工作的本質(zhì)。安全團隊最首要的目標是保護組織不受應(yīng)用安全問題的威脅。不幸的是，由于開發(fā)團隊和安全團隊經(jīng)常各自為政，所以他們往往會互相爭奪優(yōu)先級，從而在工作上產(chǎn)生摩擦。

這些摩擦?xí)归_發(fā)團隊產(chǎn)生一種恐懼文化，也就是說，開發(fā)人員已經(jīng)習(xí)慣了安全團隊責(zé)怪他們出錯。這對開發(fā)人員的工作并沒有任何幫助，也無法使他們在開發(fā)時避免安全問題。而我們需要的是，將恐懼文化轉(zhuǎn)變?yōu)樨?zé)任共擔(dān)，從而實現(xiàn)對安全風(fēng)險的快速響應(yīng)，并將其修復(fù)。正如Cisco公司的 Wendy Nather 所說：安全建議是用來采納，而不是被迫執(zhí)行的。

與其檢查開發(fā)人員在應(yīng)用開發(fā)過程中產(chǎn)生的錯誤，倒不如評估安全問題的響應(yīng)及修復(fù)速度。所有人都希望開發(fā)的應(yīng)用是安全的。所以我們需要將安全和開發(fā)無縫地集成到一個工作流程中。

這要從安全團隊如何與開發(fā)人員合作開始。在那些打破條條框框并消除摩擦的團隊中，安全建議往往有四個屬性，這些建議可以簡化工作流程，協(xié)調(diào)開發(fā)人員與安全人員的合作。

可理解的安全

對于一個開發(fā)人員來說，最讓人苦惱的莫過于，從安全部門那里，收到一份25頁的文檔，里面列出了正在開發(fā)的應(yīng)用所需要注意的安全事項。這些文檔往往是難以理解的，并且阻礙了開發(fā)的進度。這是由于文檔是用針對安全團隊的語言，而非是針對開發(fā)團隊的語言來撰寫的。

例如，如果安全團隊囑咐開發(fā)人員說：保護好授權(quán)碼，使其免受未授權(quán)的披露和修改，那么大部分開發(fā)人員都不知道這是什么意思。無論多么重要的安全注意事項，如果開發(fā)人員不能理解的話，那么該安全事項也很難得到實施。如果安全團隊能夠以一種開發(fā)人員可以接受的方式提供指導(dǎo)，并用開發(fā)人員可以理解的語言來撰寫安全文檔，那么開發(fā)人員就能更好地解決安全問題。

可行的安全

清晰且容易理解的安全建議是最基本的。如果安全團隊并不僅僅只是告訴開發(fā)人員什么需要修復(fù)，而是一并地告訴他們?nèi)绾涡迯?fù)，那么開發(fā)人員的工作就會更加的輕松，并且安全團隊提出的建議也能更快地得到實施。很少有開發(fā)人員精通安全，即使安全建議是可行的，開發(fā)人員仍要花費精力來弄明白如何才能修復(fù)安全缺陷。

要幫助開發(fā)人員更好地理解安全，就必須開門見山。開發(fā)人員不需要明白關(guān)于安全問題的種種細節(jié)，并且，強迫他們研究如何修補漏洞更是件費力不討好的事。對于所有的開發(fā)人員來說，他們想知道的僅僅是你希望他們做什么。所以，通過提供可行的指導(dǎo)，來讓他們盡快進入到綠色復(fù)選框吧。

自動化的安全

如果你已經(jīng)以一種可理解的語言來告訴開發(fā)人員需要修復(fù)什么，并用可行的指導(dǎo)來使其明白該如何進行修復(fù)。那么，你可以進一步地以自動化的方式來解決問題嗎?

安全與開發(fā)團隊之間的矛盾，部分體現(xiàn)在：開發(fā)工作的高速率以及大量的自動化與安全工作的低速率以及自動化的匱乏之間的矛盾。安全團隊應(yīng)利用自動化來代替word文檔，從而跟上開發(fā)團隊的速度。這個過程需要預(yù)先投入大量的時間與精力。我們需要將自動化融入到安全開發(fā)流程中，以便在部署前后掃面潛在的安全問題。

當安全團隊運用與開發(fā)團隊同種類型的自動化時，他們就能夠更加無縫地融入到工作流程中。

適時的安全

安全應(yīng)該被盡早地安排進開發(fā)流程，并融入到現(xiàn)有的開發(fā)生命周期以及工作流程中。而不是等到下一個階段或下一個月，開發(fā)人員才得到安全指導(dǎo)。

如果在合適的時間就引入安全性，那么開發(fā)人員在應(yīng)用開發(fā)的初期，就可以彌補安全與設(shè)計之間的差距，而不是等到部署應(yīng)用之后才修補。

這種“左移”降低了風(fēng)險的同時，也簡化了開發(fā)人員與安全團隊的工作流程。

結(jié)束恐懼文化

做出這些改變需要完成文化的轉(zhuǎn)變。我們需要擺脫孤立的恐懼文化，轉(zhuǎn)向集成的、現(xiàn)代化的、自動化的工作流程，讓安全和開發(fā)團隊共同承擔(dān)責(zé)任。

這需要衡量成就——比如解決問題的速度，而不是衡量缺點。這種文化轉(zhuǎn)變，將安全團隊定位為開發(fā)人員值得信賴的顧問，并且創(chuàng)造了一種確保每一個應(yīng)用在設(shè)計上就是安全的意識。

點評

無論是開發(fā)團隊還是安全團隊，其最終目的都是服務(wù)于業(yè)務(wù)。由于兩部門工作所針對的方面不同，難免會產(chǎn)生摩擦，所以處理好兩部門的關(guān)系尤為關(guān)鍵。安全與開發(fā)團隊之間有著互利共生的聯(lián)系。在開發(fā)重視安全的同時，安全人員也應(yīng)該站在開發(fā)的角度來有針對性地為其提供安全指導(dǎo)。