安全團隊和開發(fā)運維人員團隊之間的誤解可將企業(yè)置于業(yè)務風險之中

超過10多年行業(yè)經(jīng)驗，技術領先，服務至上的經(jīng)營模式，全靠網(wǎng)絡和口碑獲得客戶，為自己降低成本，也就是為客戶降低成本。到目前業(yè)務范圍包括了：成都網(wǎng)站制作、網(wǎng)站建設、外貿網(wǎng)站建設，成都網(wǎng)站推廣，成都網(wǎng)站優(yōu)化，整體網(wǎng)絡托管，小程序制作，微信開發(fā)，成都App制作，同時也可以讓客戶的網(wǎng)站和網(wǎng)絡營銷和我們一樣獲得訂單和生意！

從物理、金融風險，再到戰(zhàn)略和運營風險，今日企業(yè)被種種風險所包圍。企業(yè)和員工必須就這些風險進行溝通，這反而會促進企業(yè)團結一心。這種溝通需要IT人員、安全人員和開發(fā)運維人員(DevOps)的通力合作。這些團隊應當清晰地認識到應用的安全性和業(yè)務風險波動之間的關聯(lián)，這會讓他們進一步明了自身在解決安全風險時的職責。相對的，失敗的溝通也會讓整個企業(yè)處于危險之中。

傾向于聘請開發(fā)運維人員的企業(yè)通常會追求高投入產(chǎn)出比、內部的持續(xù)創(chuàng)新，以及高敏感度的客戶響應能力。大多數(shù)領導團隊最恐懼的就是對手的創(chuàng)新和進步，以及疏遠了本應抓住的客戶而導致銷售額損失。因此，安全團隊的話語權遠遠不如開發(fā)運維團隊，更不要說阻止后者了。即使在最理想的情況下，安全團隊也只能對他們產(chǎn)生一些影響。

安全團隊要想和商戶以及開發(fā)運維人員進行有效溝通，就需要了解應用安全和企業(yè)面臨的風險波動之間的關聯(lián)。如果能實現(xiàn)這一目標，安全團隊將會在信息風險事宜上更有話語權。然而，如果對這些風險置若罔聞，企業(yè)將會遭受各種安全問題的困擾，團隊地位也會一落千丈。

避免溝通失敗的***步，就是了解開發(fā)團隊不需要的安全措施。某些***實踐指南就不尊重技術現(xiàn)實，比如“加密數(shù)據(jù)庫中所有數(shù)據(jù)”，這樣的指南顯然不具備實際意義。標準應該適合應用，并且對于開發(fā)團隊具有可行性。那些缺乏開發(fā)經(jīng)驗的安全團隊常常誤入這個陷阱。

除此以外，執(zhí)行安全測試時漏洞信息管理的欠缺是害處多多的。檢測工具會誤報，雖然確定了這些漏洞，但是這些“漏洞”不能反映系統(tǒng)或軟件的真正弱點。工具還會錯報所檢測到漏洞的嚴重程度，而導致的不合理優(yōu)先級。在與開發(fā)運維團隊溝通時，漏洞誤報既浪費時間，也降低了安全團隊的可信度。

***的結果是：對缺乏兼容性的漏洞加以溝通，或形成未修復漏洞的日志。最壞的結果是：開發(fā)團隊把時間浪費在了沒用的補丁上。應用的安全性常常難以捉摸，所以許多開發(fā)團隊僅憑自身是難以理解漏洞的。如果他們無法認識到這些內容，他們就無法正確評估漏洞的風險，也不會知道該如何解決它們。而兼容和支持恰恰是開發(fā)團隊取得成功的關鍵。

開發(fā)運維團隊需要和安全團隊溝通哪些內容?

當安全團隊與開發(fā)者溝通漏洞時，漏洞必須確實存在且被精確測評，安全團隊對漏洞影響的說明會讓開發(fā)運維團隊更加心中有數(shù)。針對性的補救建議至關重要，它需要盡可能和開發(fā)團隊所使用的語言和框架相符。這使它能更容易解決問題，漏洞可以更快也更有效地被修復，修復漏洞的時間產(chǎn)出比也會得以改善。目標明確的漏洞修復也更容易一次性成功。

安全團隊還可以為漏洞的處理以及合規(guī)提供有價值的指導。一旦因為漏洞而導致處罰或關停服務，開發(fā)團隊需要及時獲得這些漏洞信息并***時間進行修正。

除了漏洞，安全團隊還可以就系統(tǒng)架構建議進行進一步溝通，來更好的設計應用以減少系統(tǒng)因為合規(guī)要求而受到的種種束縛。舉例而言，將信用卡相關事宜交給可信的第三方可以避免系統(tǒng)需要受不符合PCI-DSS的評估。另一個例子，不進行非必要的個人身份信息存儲(PII)以避免人工管理數(shù)據(jù)的風險。營銷人員經(jīng)常想要存儲所有可訪問的數(shù)據(jù)，但是系統(tǒng)設計師需要理解儲存過多的數(shù)據(jù)對隱私和安全的影響以及相伴的風險。

安全團隊和開發(fā)運維團隊之間的誤解會讓企業(yè)面臨風險。在與業(yè)務風險相關的應用安全已經(jīng)對業(yè)務造成了影響時，安全團隊應當出面進行溝通。如果安全團隊可以從品牌、金融、戰(zhàn)略等方面進行風險評估，那么他們就會成為開發(fā)運維團隊最可靠的諫言者，并幫助開發(fā)運維團隊建立和維護安全的系統(tǒng)。

【本文是專欄作者李少鵬的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

網(wǎng)站欄目：危險！安全人員和開發(fā)運維人員之間的誤解
文章地址：http://uogjgqi.cn/article/ccchish.html