关键要点

• Ivanti Connect Secure的关键里程碑：Connect Secure 22.8的发布标志着我们在"安全设计"之旅中达到关键转折点，将传统产品转变为前瞻性解决方案
• 开发中的集成安全：Ivanti从仅在开发结束时进行安全测试转变为在每个阶段嵌入安全检查，培养工程师对安全编码的自豪感和掌握度
• 以攻击者为中心的功能规划：产品管理团队现在不仅评估新功能的客户实用性，还会评估恶意行为者可能如何滥用这些功能，将安全考量嵌入每个决策

构建和执行安全文化

行业多年来使用的标准SDLC流程是在开发生命周期结束时的测试阶段进行安全测试。产品或功能会经历规划、设计和开发，然后才考虑安全因素。这种方法在行业内的许多开发团队中仍然普遍存在。

Ivanti采用的新安全软件开发框架将安全集成到开发生命周期的每个阶段，从规划阶段开始，并在整个过程中每个其他阶段进行。实施这项工作需要大量努力，我相信Ivanti是当今少数在这个框架下全面发力的公司之一。

最初，工程团队对这种流程变化存在抵触情绪，担心这会增加他们的工作量。但我在内部团队中看到的一个顿悟时刻是，当他们创建的代码在每个安全检查点都干净通过时，他们感到的自豪感。这已成为团队的友好挑战、一种自豪感，也是掌握安全编码实践的有力工具。

从攻击者角度审视功能

产品管理历来优先考虑客户的功能需求，安全在构建后才被考虑。虽然优化功能仍然重要，但现在在规划新功能时，我们不仅从客户使用角度看待它，还会花同样多的时间研究恶意行为者可能如何滥用它进行潜在威胁活动。

这种思维转变自然地将安全贯穿于产品的整个开发周期，并锚定我们做出的每个决策。

最小化攻击面

我们对Ivanti Connect Secure的安全加固采取了双重方法。我们的首要重点是在当前市场产品版本中实施针对性更新（称为点修复），以降低风险并消除技术债务。当一个产品存在数十年时，它会积累技术债务，我们正在通过主动维护来解决这些问题，以确保客户依赖的产品保持安全。

我们知道，对代码进行严格审查并透明发布CVE和修复程序的承诺引起了一些负面关注。尽管如此，我们继续选择优先考虑安全，并对我们已加强和改进的领域感到非常自豪。需要明确的是，虽然严格检查意味着CVE数量增加，但这并不表示产品存在弱点，而是表明我们对该产品进行了严格审查。

除了这些点修复之外，团队大部分时间都在进行产品重新架构。这是一项艰苦、耗时的工作，我们今天发布了最新版本。我们知道这些努力确保我们的解决方案得到保护，并根据客户需求进行优化。

介绍Ivanti Connect Secure 22.8

安全是一段旅程，今天我们在这条道路上达到了一个关键里程碑，但我们不会停歇。如果Ivanti Connect Secure是一所房子，那么我们一直专注于安装窗户栏杆、加固前后门、升级警报系统，并确保屋顶没有任何漏洞。

因为这是一段旅程，意味着我们致力于长期投入。网络环境不断演变，我们也将如此。回到我将Connect Secure比作房子的类比——接下来我们将专注于升级橱柜、修复书桌抽屉的锁具和更换绝缘材料。在实践中，我们正在仔细研究如何增加产品中内存安全语言的使用，为设备安全添加更多层次，并考虑以安全的方式为客户添加哪些功能特性。

Connect Secure 22.8的发布标志着我们"安全设计"之旅的关键时刻，它将传统产品转变为旅程中的前瞻性解决方案。虽然我们永远无法预测未来，但我们可以通过今天的行动来影响它。这就是Ivanti在向客户和行业承诺我们将实现"安全设计"时所签署的承诺。