開發(fā)團隊和安全團隊之間由來已久的緊張關(guān)系一直是組織內(nèi)部摩擦的根源。開發(fā)人員優(yōu)先考慮速度和效率，旨在通過快節(jié)奏、迭代的開發(fā)周期快速交付功能和產(chǎn)品并高效前進。另一方面，安全團隊努力平衡風(fēng)險和創(chuàng)新，但必須專注于使用護欄保護敏感數(shù)據(jù)和系統(tǒng)，并確保遵守嚴格的法規(guī)。

這些截然不同的優(yōu)先事項和溝通鴻溝導(dǎo)致的分歧不僅僅是內(nèi)部競爭，它還會產(chǎn)生切實的影響。如果一個組織中的開發(fā)人員和安全人員認為他們的目標(biāo)相互矛盾，甚至更糟的是，他們完全停止合作，那么他們可能會面臨發(fā)布延遲、系統(tǒng)停機和成本增加的問題，更不用說工作環(huán)境惡劣、士氣低落和安全風(fēng)險不斷增加的問題。

這種分歧的根源在于誤解以及缺乏溝通和背景。在許多組織中，安全和開發(fā)團隊各自為政。安全性通常被視為開發(fā)過程中的“最終檢查”，安全團隊完全脫離開發(fā)人員的工作流程，直到出現(xiàn)問題。安全團隊通常使用與開發(fā)人員缺乏相關(guān)性或適應(yīng)性的安全工具，這使得兩個團隊無法合作。

沒有人喜歡改變，尤其是當(dāng)他們不真正理解改變背后的原因時。因此，克服這些文化和實踐挑戰(zhàn)的唯一真正方法是創(chuàng)建一種協(xié)作的網(wǎng)絡(luò)安全方法。

協(xié)作文化始于高層。安全傳統(tǒng)上被視為一項必要的學(xué)科，但它是公司核心業(yè)務(wù)之外的學(xué)科，而不是公司所有流程（包括開發(fā)）的集成元素。

如果您的組織一直都是這種情況，那么您的成功指標(biāo)很可能不包括安全性。在衡量“功能數(shù)量”、“交付速度”、“客戶滿意度”等目標(biāo)時，安全性通常被視為事后考慮或次要考慮。然而，正如許多傷痕累累的公司所證明的那樣，一次違規(guī)就足以重新調(diào)整業(yè)務(wù)目標(biāo)，包括強大而安全的組織態(tài)勢。安全和業(yè)務(wù)領(lǐng)導(dǎo)者必須從最高層協(xié)調(diào)兩個團隊的指標(biāo)和目標(biāo)。

將安全功能、護欄、優(yōu)先事項和實用步驟嵌入并集成到開發(fā)生命周期的每個階段，從規(guī)劃到生產(chǎn)。

通過采用左移工作流程，兩個團隊按設(shè)計進行協(xié)作，從一開始就將安全性集成到開發(fā)流程中。這確保所有團隊都有背景和共同目標(biāo)，并使用開發(fā)人員友好的工具 - 最大限度地減少警報數(shù)量，推動自動化并提供可操作的見解和反饋。

使用專為開發(fā)人員（而不僅僅是安全專業(yè)人員）設(shè)計的工具，可以確保安全性是一個固有問題，而且是開發(fā)人員工作流程的一部分，而不是外部的（令人討厭的）事后想法。

這種協(xié)作方法必須擴展到所有安全和開發(fā)任務(wù)。必須將安全性視為一種推動因素，確保客戶收到的產(chǎn)品既具有創(chuàng)新性，又具有安全性和彈性。

開發(fā)人員最主要的煩惱之一是收到大量安全發(fā)現(xiàn)，卻沒有充分的背景或優(yōu)先級。為了解決這個問題，安全團隊?wèi)?yīng)該將發(fā)現(xiàn)直接與潛在的業(yè)務(wù)或技術(shù)影響聯(lián)系起來，使開發(fā)人員能夠了解特定問題的緊迫性。

此外，實施基于風(fēng)險的優(yōu)先級系統(tǒng)可以幫助過濾掉不太重要的漏洞，讓開發(fā)人員專注于最緊迫的問題。通過提供明確的建議和必要的資源，安全團隊可以讓開發(fā)人員高效、有效地解決問題，從而建立更具協(xié)作性和生產(chǎn)力的關(guān)系。

安全團隊和開發(fā)人員必須認識到，他們?yōu)橥恢ш犖樾Я?#xff0c;肩負相同的責(zé)任，面臨相同的挑戰(zhàn)，最終目標(biāo)也相同——提供安全、一流的產(chǎn)品。這種共同的責(zé)任感是激勵這些團隊采取行動的核心。

聯(lián)合會議、培訓(xùn)課程和透明溝通的整體文化將有助于建立相互理解和信任，以及共同的尊重感。一旦開發(fā)人員愿意分享他們對警報疲勞的擔(dān)憂，并且安全團隊描述了開發(fā)人員方面的主動安全措施，他們就可以在最早的階段共同識別阻礙因素和潛在問題，以免這些問題變得無法解決。