设计安全优先：节选

包容性安全流程

当您为安全而设计时，您的目标是：

• 识别产品可能被用于滥用的方式
• 设计防止滥用的方法
• 为脆弱用户提供支持，以重新获得权力和控制

包容性安全流程是一个帮助您实现这些目标的工具（图5.1）。这是我在2018年创建的一种方法，用于捕捉我在设计产品时考虑安全性的各种技术。无论您是创建全新产品还是扩展现有功能，该流程都可以帮助您使产品安全且包容。该流程包括五个一般行动领域：

• 进行研究
• 创建原型
• 头脑风暴问题
• 设计解决方案
• 安全测试

图5.1：包容性安全流程的每个方面都可以在最适合您的地方融入您的设计流程。给出的时间是估算值，帮助您将各个阶段纳入设计计划。

该流程旨在灵活——在某些情况下，团队实施每个步骤可能没有意义。使用与您独特工作和背景相关的部分；这旨在成为您可以插入现有设计实践中的内容。

一旦您使用它，如果您有改进的想法或只是想提供它如何帮助您的团队的背景，请与我联系。这是一个活文档，我希望它继续成为技术人员在日常工作中可以使用的一个有用且现实的工具。

步骤1：进行研究

设计研究应包括对您的技术可能被武器化用于滥用的广泛分析，以及对这种滥用幸存者和施害者经历的具体洞察。在这个阶段，您和您的团队将调查人际伤害和滥用问题，并探索可能对您的产品或服务构成担忧的任何其他安全、安保或包容性问题，如数据安全、种族主义算法和骚扰。

广泛研究

您的项目应从对类似产品以及已报告的安全和伦理问题的广泛、一般研究开始。例如，构建智能家居设备的团队最好了解现有智能家居设备被用作滥用工具的多种方式。如果您的产品涉及人工智能，请寻求理解现有人工智能产品中报告的种族主义和其他问题的潜力。几乎所有类型的技术都有某种潜在或实际的危害，这些已在新闻中报道或由学者撰写。Google Scholar是找到这些研究的有用工具。

具体研究：幸存者

在可能和适当的情况下，包括与您发现的伤害形式的专家进行直接研究（调查和访谈）。理想情况下，您会希望首先采访在您研究领域工作的倡导者，以便您对主题有更扎实的理解，并更好地准备以避免重新创伤幸存者。例如，如果您发现了可能的家庭暴力问题，您希望与之交谈的专家是幸存者本人，以及家庭暴力热线、庇护所、其他相关非营利组织和律师的工作人员。

特别是在采访任何类型的创伤幸存者时，为他们的知识和生活经验付费非常重要。不要要求幸存者免费分享他们的创伤，因为这是剥削性的。虽然一些幸存者可能不想得到报酬，但您应在最初请求时始终提供报价。支付的替代方案是向致力于对抗受访者经历的暴力类型的组织捐款。我们将在第6章中更多讨论如何适当地采访幸存者。

具体研究：施害者

旨在为安全而设计的团队不太可能能够采访自称的施害者或违反黑客等法律的人。不要将此作为目标；相反，尝试在您的一般研究中探讨这个角度。旨在理解施害者或不良行为者如何将技术武器化以对抗他人，他们如何掩盖踪迹，以及他们如何解释或合理化滥用。

步骤2：创建原型

完成研究后，使用您的洞察创建施害者和幸存者原型。原型不是人物角色，因为它们不是基于您采访和调查的真实人物。相反，它们基于您对可能安全问题的研究，就像我们为可访问性设计时一样：我们不需要在采访池中找到一组盲人或低视力用户来创建包容他们的设计。相反，我们将这些设计基于对该群体需求的现有研究。人物角色通常代表真实用户并包含许多细节，而原型更广泛，可以更通用。

施害者原型是将产品视为实施伤害工具的人（图5.2）。他们可能试图通过监视或匿名骚扰伤害他们不认识的人，或者他们可能试图控制、监视、虐待或折磨他们 personally 认识的人。

图5.2：Harry Oleson，一个健身产品的施害者原型，正在寻找通过她使用的健身应用跟踪前女友的方法。

幸存者原型是正在被产品滥用的人。在原型对滥用的理解以及如何结束滥用方面，有各种情况需要考虑：他们是否需要他们已经怀疑正在发生的滥用的证据，或者他们最初不知道自己已成为目标并需要被警告（图5.3）？

图5.3：幸存者原型Lisa Zwaan怀疑她的丈夫正在将家中的物联网设备武器化对抗她，但面对他坚持说她只是不理解如何使用产品，她不确定。她需要某种滥用的证据。

您可能希望制作多个幸存者原型以捕捉一系列不同的经历。他们可能知道滥用正在发生但无法停止，比如当施害者将他们锁在物联网设备外时；或者他们知道正在发生但不知道如何发生，比如当跟踪者不断找出他们的位置时（图5.4）。在您的幸存者原型中包括尽可能多的这些场景。您将在以后设计解决方案时使用这些，以帮助您的幸存者原型实现防止和结束滥用的目标。

图5.4：幸存者原型Eric Mitchell知道他被前男友Rob跟踪，但无法弄清楚Rob是如何得知他的位置信息的。

为您