应用安全工程第一阶段：安全意识培养

作者：Joe Basirico
发布日期：2020年11月30日
阅读时间：4分钟

系列文章

上周我发布了介绍应用安全工程三个重要阶段的文章：意识培养、能力建设和强制执行。在接下来的三篇文章中，我将深入探讨每个主题，分享优化安全工程实践的最佳实践和指南。

根据我的经验，优秀的应用安全计划始于安全意识培训。目标是让产品团队掌握足够的信息，以判断何时需要安全团队的介入。这个定义很宽泛，让我们具体分析。

普通安全意识培训通过教授员工识别钓鱼攻击、设置强密码、理解TLS重要性等内容来保护企业。虽然这对任何组织都至关重要（因为多数成功的数据泄露都涉及人为因素），但应用安全意识更具针对性，它帮助工程团队成员：

关键点：该计划的目标不是让每个人都成为安全专家，而是让他们掌握工具，在可能影响业务风险时主动寻求支持。

明确保护对象
首要任务是让产品团队理解哪些资产最需要保护：知识产权、受监管数据（PII/PCI/HIPAA等）或攻击者最可能瞄准的目标。识别资产是理解安全、风险和修复的第一步。
识别敏感组件
处理敏感数据的组件天然具有风险，但其他组件（如特权账户、关键系统接口）同样需要标记为高风险。
理解风险本质
定义风险为可能性×影响的乘积，这种清晰易懂的方式能帮助团队开展有效讨论。安全专业人员则需深入掌握风险评估方法。
安全可以有趣
最让我兴奋的是看到团队成员"灵光乍现"的时刻——无论是理解黑客思维还是特定攻击向量。让安全变得有趣能激发团队持续学习的动力。
安全不必耗时
20年前的"安全关卡"模式（威胁建模、架构审查、代码扫描等）让开发者对安全团队望而生畏。现代安全更注重赋能——通过工具和库帮助团队快速构建安全软件（下篇文章将详述）。
安全团队不只是说"不"
开发者常认为安全团队是"阻碍者"。优秀的安全团队会进化思维，既保障功能安全，又成为产品的市场差异化优势。

如果产品团队在会议或功能讨论中频繁提出"这有什么安全影响？“并引发热烈讨论，说明意识培养的目标已经达成。本阶段的核心是让团队具备提出问题、热情和好奇心，而非必须解决问题。

订阅我们的 newsletter：每月推送安全新闻摘要和最新文章链接，不容错过！