打破开发与安全之间的隔阂

关键要点

• 找到问题的第一步是承认它的存在，开发者与安全专业人士之间的差距对组织运作造成负面影响。
• 开发者与安全团队的目标常常不一致，导致工作上的摩擦。
• 当前，资讯安全团队的角色已逐步进化，但依然需要解决开发者与安全团队之间的协作问题。
• 提出四个行动步骤以促进开发与安全的协同工作。

在几乎所有组织中，开发者与安全专业人士之间存在固有的断裂，这使得两个核心团队之间出现了看似无法调和的摩擦。这种摩擦经常被忽视，但其对组织产出、文化和安全的潜在影响不可小觑。作为安全专业人士，我们应该共同致力于寻找创新的解决方法，无论是通过促进建设性对话，还是通过构建创新的解决方案。

利益冲突

安全团队与开发者之间的这一分歧可以追溯到安全团队被称为“拒绝的部门”的时候，这暗示了传统上以安全为优先的安全领导者与业务目标或创新之间的对立，贯穿整个生产环节，让安全团队看起来不切实际。开发者的主要目标是快速开发功能和产品，并将其推出市场，为顾客提供使用。输出越多，公司的收入越高，但安全团队的任务是对这些输出进行控制、审查，以确保其安全性。这使得开发过程必然需要加速，而安全则需要相应地延缓，这正是两者之间的对比所在。

CISO 的演变

过去，安全团队专注于安全本身，似乎业务目标与其核心责任无关。虽然这样的限制措施保障了基础设施和数据的安全，但却与开发者所需的速度格格不入。现今的首席信息安全官（CISO）不仅负责安全，还参与设定、定义和实施业务策略。他们向高管团队提供关键的安全信息，并为安全团队提供业务背景，使其能够与公司目标对齐。当前的安全运作需要协作，并依赖于组织内部的多个团队与元素的参与，这与以往孤立的安全形象截然不同。

本以为这一演变会缩短开发者与安全专业人士之间的距离，但实际上却增加了摩擦。随著云技术的普及，攻击者的手法越来越复杂，新的云安全产品出现，带来了自动化的可见性，却同时也产生了大量警报、漏洞和安全问题。这使得情况变得更加恶化：开发者不仅面对更多安全工具带来的问题，还因为缺乏信任而导致合作上的隔阂。

我们可以找到解决办法

为了在满足安全需求的同时，减少开发者面对的警报，安全团队往往选择不需要开发者参与的工具。这虽然是一个可行的选择，但形成这样的孤岛会让大家都失去有价值的合作机会。不幸的是，安全工具对开发者来说市场狭窄，但这些工具有潜力显著提高R&D的效率，并且能与开发者使用的工具整合，最终使两个团队受益。最终，每当安全需求不被开发者理解时，都可能导致产品的安全性下降。

一旦组织认识到问题并将解决这种摩擦作为优先事项，我们将能逐渐改变整个行业的做法。我们应朝著建立产品的方向