安全开发如何“无痛分娩”？

一、某“爆款”视频会议软件的市场滑铁卢

2020年初，一场突如其来的疫情，使得某知名视频会议系统日活用户从1000万飙升至2亿，资本市场对其一度看好。可好景不长，由于系统被曝出严重的隐私和安全问题，股价随之受挫，商业信誉严重受损，还被诸多政府机构、高科技公司禁用。

该视频会议软件的安全事件归根结底是开发安全没做到位，相信其安全团队和开发部门肯定因此经历了很多个不眠之夜。

其实早在2004年，微软就提出了SDL，强调安全要在早期开发过程介入，从根本上管控应用安全。在2020年的RSA大会上，专注于将安全集成到DevOps流程中的DevSecOps，更是大放异彩。本文将从安全部门角度出发，针对安全开发落地过程中容易被忽略的赋能与运营问题，希望可以给大家提供一些思路。

二、安全部门的难处

安全部门处境尴尬，受制于业务上线的需求，安全往往需要为业务让路，在实际执行过程中处于弱势，出问题时安全部门又需要救火和背锅。但从上文视频会议软件的案例中，我们也可以看到，安全对业务的重要性。无论是对业务的贡献，还是合规要求，甚至是更实际的——安全人员自身的绩效，都应该开展安全开发体系建设的工作。

关于安全开发体系建设的常见难点，首先我们来看两个案例：

• 案例1：某传统制造业企业，业务正在进行互联网转型，应用开发项目逐渐增多，但是安全团队规模依旧很小(5人以下)，根本没有人力来执行安全测试、代码审计等安全工作，更别提安全开发体系建设。
• 案例2：某科技银行，安全团队规模很大，仅安全测试就有数十人，测试团队每年的人力成本上千万(一线城市)。项目逐年扩张，测试工作随之增加，但人力成本不可能无限增加。

一般来说，常见的安全开发落地难点包括：

• 人力不充足：安全人员严重短缺;
• 人员的抵触：自身安全能力不足，安全工作增加工作量但无法体现绩效;
• 流程的变更：安全介入，导致流程改变，短时间无法适应;
• 项目周期紧：开发周期原本已经很紧凑，加入安全工作后，时间上更加紧张。

三、安全赋能，合作共赢

无论是人力紧缺的小型安全团队，还是人力充足的成熟安全团队，要解决上面讲到的这些难处，最有效的方法莫过于赋能。但赋能也要讲究方式方法，不然可能适得其反。

1. 合理的体系

合理高效的管理体系是确保开发安全管控的前提，安全开发管理体系需要定义安全介入的时机和每个角色需要执行的安全动作(安全工作和输出物)，确保安全开发管控流程执行到位。但是这就对以前的流程产生了侵入，在设计体系时，应尽量避免产生新的制度和流程，采用对现有制度和流程修订优化的方式，降低执行的门槛。

2. 常态化培训

对于缺乏安全经验的产品、开发等人员，应提供必要的安全培训(体系、意识、技能)的支持，以帮助相关人员提升安全能力，完成相关安全工作。对不同人员需要提供的培训内容也不太一样，下表是培训内容的一些