例如安全測試的人員吐槽：“這幫人研發(fā)啥腦回路能寫出這種漏洞”、“上次都說測過這個漏洞了，這次還有”。開發(fā)人員也吐槽安全：“這樣寫有什么風(fēng)險，你又不能證明”。聽起來就像是安全向左，開發(fā)向右，各有各的難處，充滿矛盾。

安全角度關(guān)注的重點在于過程——過程的安全性。所以在從事安全工作的過程中，需要通過分析去開展工作，比如業(yè)務(wù)是怎么運(yùn)行的、調(diào)用了哪些組件、訪問了哪些組件、身份認(rèn)證是怎么實現(xiàn)的等。甚至很多時候需要結(jié)合自身的經(jīng)驗，去推測研發(fā)人員是怎么實現(xiàn)，去構(gòu)造測試方式以及測試用例，自然有了“這研發(fā)啥腦回路能寫出這種漏洞”的感慨。

開發(fā)工作更多地關(guān)注的是結(jié)果的正確性，在結(jié)果的正確性上考慮其他因素。例如連續(xù)性、健壯性、實現(xiàn)效率。開發(fā)人員更傾向于選擇已驗證的技術(shù)去達(dá)到正確的結(jié)果。只不過已驗證并不是安全的已驗證，而是結(jié)果已驗證。例如搜索引擎里其他人是怎么解決的、技術(shù)文檔里是如何解決。但是很多問題都沒有標(biāo)準(zhǔn)答案，需要通過一個個小問題的答案的組合，所以開發(fā)人員往往是通過組裝的方式，不會去關(guān)注中間過程是如何實現(xiàn)的。

安全人員的知識體系的儲備是從安全的角度出發(fā)的，以XXX漏洞原理、XXX威脅、風(fēng)險為主，圍繞這些相關(guān)的案例和實踐經(jīng)驗進(jìn)行學(xué)習(xí)和成長。而開發(fā)人員的知識體系儲備則是從語言規(guī)則、工具包、設(shè)計模式、算法這些內(nèi)容為主，可以說是完全不相同的維度。

苛求開發(fā)人員能像安全人員一樣，避開所有漏洞是不太可能的，甚至可以說安全不是開發(fā)人員的第一優(yōu)先級，而安全人員往往對于研發(fā)的技術(shù)不太熟悉，很難給出能直接可供研發(fā)人員使用，達(dá)到安全目標(biāo)的建議。

大多數(shù)情況下，安全人員不是開發(fā)多團(tuán)隊協(xié)作里的一環(huán)，開發(fā)團(tuán)隊確保的是應(yīng)用系統(tǒng)的快速交付上線與迭代更新，而安全團(tuán)隊需要確保待上線的系統(tǒng)是滿足監(jiān)管與安全要求的。跨部門協(xié)作，各自團(tuán)隊與角色工作目標(biāo)不一致，自然會有很多“矛盾”。

安全團(tuán)隊認(rèn)為開發(fā)不配合，給業(yè)務(wù)帶來巨大安全隱患，也造成后續(xù)不必要的安全投入；開發(fā)團(tuán)隊認(rèn)為安全就是來添麻煩的，既要又要還要。

從更高維度的企業(yè)角度來說，開發(fā)和安全并不是對立的兩個事情，不是要安全還是要開發(fā)的選擇題，安全、穩(wěn)定、可靠的應(yīng)用系統(tǒng)支撐業(yè)務(wù)發(fā)展才是共同的目標(biāo)。

安全開發(fā)必然多團(tuán)隊配合的工作，消除矛盾、確立共同目標(biāo)才有協(xié)作的基礎(chǔ)。這就對安全團(tuán)隊提出了更高的要求。

我們其實在聊安全的時候都離不開風(fēng)險這個概念，都聽過一句話“絕對的安全是不存在的，安全是相對的”， 絕對安全大家可能都知道，但是什么叫相對安全就是一個大大的問號。從開發(fā)人員角度，就會出現(xiàn)——“既然永遠(yuǎn)有問題，那么還需要做安全嗎”的疑問，而安全人員也會陷入到需要一直一直找漏洞和風(fēng)險的情況，甚至以數(shù)量作為KPI，這極大地強(qiáng)化了開發(fā)和安全之間的對抗，針對多個漏洞和風(fēng)險進(jìn)行挑戰(zhàn)和復(fù)議，難以推進(jìn)協(xié)作，反而造成了大量內(nèi)耗。

弱化安全對抗的第一步是跳出提升漏洞數(shù)量的陷阱，其實安全和開發(fā)的出發(fā)點都是一樣的，希望應(yīng)用系統(tǒng)的風(fēng)險越來越小。從安全質(zhì)量的角度上來看，安全團(tuán)隊的理想情況是測出的漏洞和風(fēng)險是0個，而開發(fā)團(tuán)隊的理想情況是編寫的漏洞和風(fēng)險是0個。

但是由于風(fēng)險屬性的存在，0個是很難存在的情況，所以第二步是嘗試對相對安全的標(biāo)準(zhǔn)進(jìn)行細(xì)化，圍繞這個相對安全的標(biāo)準(zhǔn)工作就能更加容易得達(dá)到“0個”得目標(biāo)，無論安全還是開發(fā)都可以圍繞標(biāo)準(zhǔn)部署工作，從某種意義上消除摩擦，避免后續(xù)在具體工作上的矛盾。

賦能不僅僅只是一些培訓(xùn)，更多的需要建立起相互理解和認(rèn)識，但是由于過于龐大的開發(fā)團(tuán)隊，往往需要安全團(tuán)隊優(yōu)先行動起來，從開發(fā)人員一貫思路上提供助力。

安全團(tuán)隊構(gòu)建起安全需求以及威脅的知識庫，通過威脅建模工具的方式（例如安恒安全需求分析工具）幫助開發(fā)從系統(tǒng)、業(yè)務(wù)等角度識別各個安全需求，細(xì)化開發(fā)任務(wù)，落地安全質(zhì)量標(biāo)準(zhǔn)。

安全團(tuán)隊與開發(fā)團(tuán)隊一起設(shè)計一些常用的安全工具方法，例如安恒信息的安全開發(fā)SDK，開發(fā)人員不需要再用考慮如何組件的設(shè)計是否安全，重新回到如何組裝這些組件、工具去解決問題的角度上。

但是這些并不代表著開發(fā)團(tuán)隊不需要行動起來，所有這些措施里都包含了大量的安全知識和經(jīng)驗，如何掌握和使用這些信息，從來不是一件輕易的事情，哪怕它們已經(jīng)做得非常清晰、完善、通俗易懂。

開發(fā)和安全需要互相認(rèn)識、理解，才能真正的協(xié)作。

這里不僅僅是說某個開發(fā)流程的協(xié)作，而是思路上的轉(zhuǎn)變，圍繞思路的轉(zhuǎn)變?nèi)ピO(shè)計、調(diào)整協(xié)作流程。

可能有的人會問，你說的轉(zhuǎn)變是安全團(tuán)隊既管殺也管埋嗎？做到漏洞的檢測發(fā)現(xiàn)到修復(fù)一條龍。

確實，這是轉(zhuǎn)變的一部分，但是除了這個意外很重要的一點是開發(fā)與安全團(tuán)隊現(xiàn)在是以系統(tǒng)的安全質(zhì)量為共同的目標(biāo)，那么就不能是以問題導(dǎo)向為唯一目標(biāo)了，問題、bug、安全漏洞的修復(fù)不是閉環(huán)的終點，需要將發(fā)現(xiàn)的問題推回到整個體系中，優(yōu)化流程，發(fā)現(xiàn)知識體系的殘缺、工具規(guī)則的優(yōu)化等等，通過PDCA中A去實現(xiàn)閉環(huán)。

安恒安全開發(fā)一體化平臺概要