如何打破Sec、 Dev和Ops之間的孤島?

在多數企業裡，軟體安全只是檢測部門的職責，但隨著對網路安全要求的提高，軟體安全應該是整個團隊都應有的覺悟。

太多的軟體開發團隊、高管和使用者認為安全只是工具、密碼學、編碼、應用程式和各種硬體裝置。但實際上，這也是一種心態。簡而言之，團隊必須認真考慮安全文化才能構建真正安全的軟體。

沒有什麼比應用程式安全性更重要的了。開發人員必須將風險、威脅和安全規則內部化。但如果他們在不理解的情況下同意這些規則背後的基本原理，他們很可能會遵守法律條文而不是發自內心的去做安全這件事。

1.安全人人有責

開發人員可能是維護安全的最關鍵參與者，這僅僅是因為廣泛使用的應用程式內部的安全漏洞可能會造成廣泛的破壞。然而，安全需要被納入軟體開發生命週期的每一個階段，並由參與其中的每個人參與。

企業需要打破sec dev和ops之間的孤島。簡而言之，讓每個人都瞭解所有參與者都在以自己的方式努力幫助公司蓬勃發展。

2. 聽取參與 SDLC 的人的意見

當企業要求每個人都參與軟體的安全性時，它必須接受這個龐大而多樣的組織提供的關於SDLC安全性過程的輸入和反饋。特別是，如果這個反饋使得軟體獲得了一個改進的機會，幫助開發人員在儘可能不費力的情況下使軟體更加安全。

在可行的情況下，利用 靜態程式碼安全檢測等自動化工具在遭到網路攻擊之前發現和消除問題。以最小化誤報和漏報的方式這樣做，因為這兩者會使開發人員失去對工具的信任和在安全上的價值。使用實時、互動式報告結果的工具，而不是冗長的掃描時間，長掃描時間會降低開發效率。此外，請確保系統不會提供快速過時的靜態資訊。

3. 將培訓方面納入安全計劃

首先，安全工具必須儘可能經常和具體地提供補救建議。更重要的是，程式碼安全檢測應提供完全可見性，不僅針對實際問題，而且針對潛在問題。

其次，投資於高質量的開發人員教育，重點是構建安全軟體的實際方面。這不一定是昂貴的或耗費時間的，因為有大量免費資源可用。建議可以透過OWASP，推動應用安全領域的主要非營利組織，定期釋出的材料來了解網路安全的相關資訊。

4.沒有安全就沒有質量

如果軟體提供未經授權的訪問、洩露敏感資料或與企業中的其他應用程式衝突，如何才能認為軟體是高質量的?

高質量等於高安全性。不要將出色的功能與出色的軟體混淆，這一點至關重要。優秀的軟體幾乎總是會提供出色的功能和易用性，但如果它帶來安全漏洞、停機、訴訟和取證調查，那麼它在現實中將多糟糕?

5. 獲得高層的支援和參與

各級管理人員都需要了解組織的安全目標並熟悉安全軟體流程的投資回報率。這些是 CFO和CEO以及董事會成員所接受的概念。無論軟體是供內部和合作夥伴使用，還是最終產品要對外銷售，使用他們的語言始終是最好的溝通方式。

安全程式碼意味著更快的上市時間、更順暢的銷售流程、更快樂的終端使用者客戶等等。

靜態程式碼安全檢測等自動化工具允許開發人員和運營團隊將更多時間合精力用於構建應用程式中更有趣的部分，這等於在做好安全的同時提高了開發效率。

參讀連結：

https://hdivsecurity.com/bornsecure/five-steps-to-build-a-secure-software-development-culture/