安全与开发的“中间地带”

关键要点

向左移动使安全实践早期融入软件开发过程中。开发者面临压力，安全可能被忽视，导致漏洞。安全团队与开发团队需要密切协作，共享责任。文化转变和适当工具对有效合作至关重要。通过决策支持工具，安全和开发团队可以更高效地合作。

近年来，“向左移动”的理念在网络安全，尤其是应用安全领域变得越来越流行，主张在软件开发生命周期内早期整合安全实践。尽管这种方法有其优点，但在确保安全团队与开发及工程团队的优先事项一致方面，仍然面临着诸多挑战。

开发者在交付新功能和特性时，常常承受着巨大的压力，工作在紧迫的截止日期和竞争的优先事项中。在这种环境下，安全考虑很容易被忽视，导致可能的漏洞和安全事件的发生。

另一方面，安全团队需要建立并交付更多的安全计划，同时留出空间来应对未来的安全事件，以便他们能够相应地作出反应。

在业内，人们常常认为，只需将安全责任“向左移动”即在开发过程中更早地提出安全要求组织便可以有效应对挑战。然而，现实情况远比这复杂。

团队不能仅仅执行一套预定义的规则或指导方针。这需要深入理解应用程序和基础设施的环境，以及不断变化的威胁形势。虽然开发者在编写安全代码中发挥了关键作用，但他们可能缺乏做出明智安全决策所需的专业知识和背景。

旋风加速器apk

这就是“中间地带”概念的作用所在。安全团队不能期待开发者完全承担安全责任，而是需要与工程团队密切合作，以桥接开发与安全之间的差距。

通过合作，安全专家可以为开发者提供有效整合安全最佳实践所需的指导、工具和资源。这可能包括进行安全代码审查、提供安全编码实践的培训，或将安全测试工具集成到开发流程中。

不过，安全和开发团队之间的有效合作不仅需要技术解决方案，更需要文化的转变。组织必须倡导一种共享责任和问责的文化，让大家都能将安全视为自己的责任，而不仅仅是专门安全团队的任务。

除了文化上的改变，合适的工具对支持协作安全的方式至关重要。决策支持工具的能力在于让团队在全面的数据分析和实时洞察的基础上做出明智的安全决策。

这些决策支持工具为工程师提供基线和代码补救方案，帮助他们主动应对安全问题。通过提供可行的建议和见解，工程师可以更有效地优先处理工作，实施安全最佳实践，而不会打乱他们的工作流程。

此外，决策支持软件让安全和开发团队无缝协作，促进合作与相互支持的文化。工程师不再将安全视为生产力的障碍，而是将其视为开发过程的重要组成部分，提升组织的整体安全态势。

尽管“向左移动”的方法在现代软件开发中有其地位，但我们必须用一种协作且复杂的安全方法来补充它。通过“中间地带”的合作，安全和开发团队能够确保在不牺牲速度或灵活性的情况下，将安全无缝地整合到开发流程中。借助合适的工具和文化，组织能够有效平衡安全与开发的优先事项，降低风险，交付安全、高质量的软件。

Shira Shamban，Solvo 联合创始人兼首席执行官