安全团队为机构最佳之内部顾问

当团队了解到他们最好的顾问是安全团队中的那些人，以及安全在整个组织中的重要性时，他们会很乐意从设计到发布的每一步都包括安全团队。

2021-10-08 634

image (9).png

有业界内有一些传言，常常在说 IT 安全团队像一个"仓库"，是给一些不受欢迎的员工在那里待着，他们就是常常说 "不"。当这种情况发生时，整个组织都会受到影响。某些项目中工作的人员会避免让安全团队参与进来，因为他们认为安全团队会制造障碍并且不会增加任何价值。只有当项目准备好正式发布时，安全团队才会勉强加入；也就是说，如果安全团队被包括在内，到了这个阶段，这通常需要进行大量更新来提高安全性，但其中大部分问题本可以在项目早期用更少的时间和资金来预防或修复。因此，整个组织都受到影响，最有才华的团队成员，以及那些最有可能在安全领导角色中取得成功的人，因为害怕损害他们的声誉而避开安全团队。当最终实现对安全性的需求时，唯一的方法似乎就是邀请昂贵的外部咨询团队。

对于任何组织来说，改变和改进文化一直是一项艰巨的任务。但在这种情况下，有一条改进之路可选。首先，您必须打破安全只是安全团队的责任，产品是产品团队的责任的心态，您需要培训和装备安全团队以了解和完善整个软件开发生命周期，因为在软件开发生命周期的任何时候都可能出现安全问题。同样重要的是，整个组织中的一些顶级技术人员都致力于安全；如果它被视为死胡同，您最终只会拥有一个缺乏活力的安全团队，最终也缺乏安全性。最难的部分是处理那些不愿意改进的人，因为当前的文化可能令人员抱着接受"仓库"这种心态。

第二阶段是确保 “不” 永远不是第一个反应。每个询问都应该得到类似 “是的，这是我可以帮助您改进产品和安全性以完成它的方法。” 大家不应将安全团队视为障碍，而应将其视为开发和运营团队的资源。一旦发生这种情况，安全团队将成为整个组织的可靠内部顾问。

第三阶段是对组织的其他人员进行安全基础知识和安全实践的早期实施方面的培训。这个阶段需要持之以恒持续进行，既要处理人员流动，又要鼓励那些不关注该主题的人考虑安全问题。每个人都需要明白，即使他们的头衔中没有 “安全” ，他们仍然有责任确保开发和运营活动的执行着眼于安全最佳实践。安全不应该是在项目结束时层层叠加或传递给其他人的事后考虑—这个概念需要根深蒂固在各个人员：在流程的每一步都需要考虑“安全” 。

虽然外部顾问对于解决特定问题很有作用，但只有在出现问题或项目结束时才雇用他们，这亦向外暴露了机构的问题，另外，这也大大减少了机构内部对安全团队的所在价值。当您考虑聘请顾问的高昂成本时，为整个团队提供安全最佳实践培训的时间和费用就变得非常划算，除此之外，加上将安全最佳实践纳入所有降低风险的技术的开发、部署和管理阶段等，这对整个团队及流程带来更大的好处！

当团队了解到他们最好的顾问是安全团队中的那些人，以及安全在整个组织中的重要性时，他们会很乐意从设计到发布的每一步都包括安全团队。

其中一个很好的起点就是参加来自 Linux 基金会的免费线上入门安全软件开发培训课程系列，其中包括：

安全软件开发课程：需求、设计和重用 (LFD104x):

https://www.edx.org/course/secure-software-development-requirements-design-and-reuse

安全软件开发课程：实施 (LFD105x):

https://www.edx.org/course/secure-software-development-implementation

安全软件开发课程：验证和更多专业主题 (LFD106x):

https://www.edx.org/course/secure-software-development-verification-and-more-specialized-topics

专注于安全的进一步培训课程包括：

线上课程

建立SBOM之入门课程（LFC192):

https://training.linuxfoundation.cn/courses/54