無論你將其稱為左移安全、預置安全，還是設計安全，當今具有前瞻性的企業(yè)都明白，他們不僅需要將安全作為單個應用程序的整個生命周期的考慮因素，而且還需要考慮其支持的業(yè)務產品的整個生命周期。為了做到這一點，越來越多的企業(yè)使用產品安全團隊和產品安全官作為實現(xiàn)這一變化的一種方式。

產品安全將傳統(tǒng)應用程序安全的范圍遠遠擴展到測試之外，并擴展到倡導、業(yè)務組之間的協(xié)作、設計思維、威脅建模、架構規(guī)劃和真正的風險管理領域。Appdome的首席產品官Chris Roeckl表示：“通過積極參與開發(fā)過程的每個階段，產品安全團隊幫助將安全考慮因素嵌入到軟件的設計、架構、編碼、測試和發(fā)布到生產中?！边@種主動的方法是一個良性循環(huán)，將漏洞風險降至最低，并確保安全是最終產品不可或缺的一個方面。

如果處理得當，產品安全將成為兌現(xiàn)DevSecOps倡導者多年來做出的承諾的重要因素。

應用安全和產品安全有何不同

雖然應用安全和產品安全有一個共同的目的——幫助企業(yè)發(fā)布和維護安全軟件--但每個功能在實現(xiàn)這一目標中扮演的角色是不同的。谷歌員工云安全倡導者米歇爾·丘比爾卡解釋說：“應用安全真正關注的是測試、驗證和工具鏈，而產品安全涵蓋了整個SDLC的業(yè)務規(guī)則，包括軟件開發(fā)中那些模糊的人為部分?！?/p>

此外，雖然應用安全團隊深入研究他們負責加強的每個單獨的應用程序，但產品安全要著眼于整體情況，端到端地查看幫助提供給定產品的整個堆棧的安全性。產品安全是應用程序安全的延伸。應用安全集中在保護單個軟件應用程序的代碼和功能上?！癈ontrast Security公司的CISODavid Lindner說。產品安全考慮到更廣泛的環(huán)境和各種組件之間的通信可能出現(xiàn)的潛在攻擊載體，從整體上看待整個技術產品。

這一更廣泛的環(huán)境可以同時包括多個應用程序、硬件組件和相關服務。產品安全考慮了它們在一起部署時的安全狀態(tài)。

對于一些公司來說，產品安全可能只關注外部客戶，但其他公司甚至認為關鍵的后端財務或人力資源系統(tǒng)等內部項目也在產品安全保護傘的范圍內。全球軟件開發(fā)公司EPAM Systems的CISO薩姆·拉赫曼解釋說，無論哪種方式，產品安全前景都更加全面?！斑@涉及更廣泛的范圍，包括運營和技術控制、整體環(huán)境、客戶身份，以及檢測和應對服務中潛在問題的機制?！彼f。

黑莓負責產品安全的副總裁克里斯汀·加茲比(Christine Gadsby)表示，看待這一區(qū)別的一種方法是將應用程序想象成蛋糕。應用程序安全類似于在將其提供給某人之前檢查單個蛋糕，以確保它看起來安全且沒有污染。同時，產品安全是指改善面包店制作蛋糕的方式和他們使用的工具，以確保每一塊蛋糕都是安全和美味的?！爱a品安全更像是一種‘大局’方法——從開始到結束的整個烘焙過程，確保你在每一步都有正確的動作和過程，以確保蛋糕有完全正確的成分，滿足你客戶的精致甚至敏感的托盤，并在整個生命周期中保持‘新鮮’，”她說。作為一個企業(yè)，產品安全團隊必須考慮整個產品或系統(tǒng)列表的安全性以及客戶使用它們的內容，這些產品或系統(tǒng)可能包括幾個‘配料’或幾個蛋糕。

為什么產品安全正在成為應用的趨勢

產品安全已經出現(xiàn)在企業(yè)架構圖上，這一事實并不是對傳統(tǒng)應用程序安全測試的否定，只是承認現(xiàn)代軟件交付需要不同的視角，而不是受過培訓的應用安全測試顯微鏡。由于技術領導者已經認識到應用程序不是在真空中運行，產品安全已經成為幫助觀察單個應用程序之間的差距的首選團隊。這個團隊的成員也是安全倡導者，他們可以幫助向可重復的開發(fā)過程和產生所有代碼的“軟件工廠”灌輸安全基礎。

API安全測試公司StackHawk的聯(lián)合創(chuàng)始人兼CSO Scott Gerlach表示，產品安全的出現(xiàn)類似于DevOps運動早期站點可靠性工程的增加。隨著軟件交付的速度越來越快，從開始到交付，可靠性都需要融入到產品中。如今，安全團隊通常在開發(fā)過程中與軟件的交互最少。另一方面，產品團隊在整個生命周期中全力以赴。將安全性納入他們的技能集，并從產品開始到發(fā)布進行整合，可以實現(xiàn)更快、更安全的產品交付周期。這是為了在早期讓安全更接近產品。

同時，產品安全通常不會取代傳統(tǒng)的應用安全。應用程序安全在保護軟件方面繼續(xù)發(fā)揮著重要作用，最好是在一個協(xié)調良好的產品安全框架內。EPAM的拉赫曼解釋說：“值得注意的是，產品安全依賴于應用安全實踐來限制和減少應用程序中的漏洞。”如果不解決應用程序級漏洞，任何圍繞產品的額外安全措施都無法確保高標準。

產品安全團隊可以促進安全文化

產品安全在設計原則下的安全實現(xiàn)中起著舉足輕重的作用。根據(jù)拉赫曼的說法，它在產品或服務的設計階段是不可或缺的。這種參與擴展到定義復雜地編織到產品的架構和功能中的強大的產品政策和控制?！?。

定義產品策略只是個開始，因為產品安全是工程和開發(fā)、業(yè)務利益相關者和安全領導之間協(xié)作的實際促進者。企業(yè)經常將該團隊用作推動始終難以捉摸的安全文化的變革推動者，而許多軟件安全大師多年來一直倡導這種文化。

Gadsby說：“產品安全團隊可以通過定期交流安全更新、成功經驗和挑戰(zhàn)，幫助創(chuàng)建一種有安全意識的文化，讓每個人都能在日常工作中了解安全并將安全放在首位?！彼麄冎贫鞔_的指導方針和標準，提供資源教育員工有關最佳實踐的知識，并與開發(fā)團隊合作，將安全性整合到軟件開發(fā)生命周期中。

雖然產品安全確實做了相當多的宣傳和政策工作，但最好的產品安全團隊不會只把繁重的安全需求堆積在別人的肩膀上，而不支持他們。Synopsys Integrity Group的副首席安全顧問杰米·布特(Jamie Boote)表示，它們應該幫助減少局限。

布特解釋說：“一種特殊類型的局限會阻礙企業(yè)中的安全，那就是認知局限——理解和解決安全問題所需的精神努力?！蓖ㄟ^提供培訓、明確的要求、可重復使用的解決方案和按設計確保安全的組件，團隊只需付出最少的努力即可適應和使用這些組件，從而可以減少開發(fā)人員、架構師、工程師和其他利益相關者所遇到的認知局限。

拉赫曼表示，通過領導對每個參與產品相關方面設計和編碼的人的教育和培訓，是產品安全作為安全文化變革推動者角色的關鍵組成部分。他說：“非安全專業(yè)人士往往缺乏防御性思維或預測潛在攻擊者視角的內在本能——我稱之為‘檢查每一個角落’的觀念。”“分享看似合理的情景，不是為了引起恐懼，而是為了說明襲擊者的潛在行動，這對于在企業(yè)內培養(yǎng)安全文化至關重要。當個人掌握了可能出現(xiàn)的情景和面臨風險的資產時，他們就更有可能采取正確的心態(tài)。

誰負責產品安全?

如果一個企業(yè)沒有在Prodsec團隊中安排合適的人員并建立授權的報告結構，使他們能夠成功地影響變化，那么所有這些產品安全的職責和目標都是純粹的抱負。最好的產品安全專業(yè)人員需要擁有技術熟練和軟技能的體面組合，這將有助于他們促進協(xié)作;這不是那些不喜歡與人交談的搖滾明星技術人員的地方。同樣，他們需要一位負責安全以及提供有利可圖產品的業(yè)務和工程方面的負責人?！耙I導有效的產品安全，必須任命一位具有產品知識和深厚安全專業(yè)知識的人，”拉赫曼說。他建議，他們將被授權在四個關鍵利益相關者領域進行有效溝通：IT、CISO辦公室、開發(fā)/開發(fā)運營團隊，以及治理、風險和合規(guī)。

根據(jù)企業(yè)的需要和文化，報告結構將有很大不同。如果他們更大的企業(yè)是圍繞產品建立的，一些Prodsec團隊可能會嵌入到工程或產品企業(yè)中。此外，一些團隊可能會根據(jù)監(jiān)管或法律風險敞口向法律或合規(guī)部門報告。但有些人通常仍會向CIO/CTO、CISO或副總裁或安全總監(jiān)匯報工作。

拉赫曼說，最常見的直接下屬通常是CISO、CTO和CIO。他說：“在安全企業(yè)在技術上熟練且強大的情況下，我傾向于向CISO報告。”或者，向負責技術戰(zhàn)略的CTO匯報也可以為產品安全角色提供一個有效的住所。這一選擇最終取決于該企業(yè)的具體動態(tài)和目標。

作為黑莓產品安全副總裁，加茲比直接向CISO匯報工作。這將確保產品安全努力與我們的公司安全戰(zhàn)略保持一致，并確保我們在所有產品和服務中始終如一地實施安全措施?！?。

無論產品安全直接向誰報告，所有專家都同意，CISO應該為團隊執(zhí)行的產品安全設定戰(zhàn)略愿景。CISO通過定義產品安全倡議的戰(zhàn)略方向來塑造和指導產品安全團隊。他們考慮如何將安全性集成到產品開發(fā)生命周期中，并使其與公司的總體目標保持一致。CISO還確保產品安全團隊由熟練的專業(yè)人員組成，他們能夠應對與產品開發(fā)相關的一些復雜挑戰(zhàn)。與其他部門進行了大量合作，以確保安全措施無縫集成，他們努力建立安全政策、標準和指導方針。