聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

同理心即理解其他人内心感受的能力可能是将安全成功转移到开发世界的秘方。Snyk 公司的联合创始人兼总裁 Guy Podjarny 通过无数次采访发现，嘉宾一直都在谈论同理心、理解以及行动力是以开发者为先的安全文化获得成功的最大要素。

这些业内嘉宾提出的建议可总结为七大实践，相关企业可借此顺利提升开发者为先的安全旅途体验。

1、面对面交流

为了真正地将安全和开发结合起来，双方的积极参与起着重要作用。耐克公司的“代码医生”兼开发者倡导者 Jet Anderson 认为，参与不仅会提升同理心、加强相互理解，而且有助于构建对成功实施文化变化至关重要的关系。Jet 解释了自己为何会尽力参加开发团队的站立会议和社区聚会。Jet 表示，“我去参加社区聚会，谈论他们感兴趣的话题等等。我认为社区不仅是找到开发者的地方，而且也是需要实行文化变化的地方，对吗？你必须具有开发思维的安全专业人员，才能找到具有安全思维的开发专业人员。”

思科安全和信任组织机构的安全架构师 Amanda Honea-Frias 在工作中努力践行同理心。她解释了投入时间和开发人员相处的重要性，“直接对接、一起吃午饭一起学习、一起工作、认真倾听、建立关系、一起出去喝咖啡、真正和他们当同龄人相处，而不是割裂安全和开发。”所有的这些努力都会得到回报。

2、将安全融入开发

Twilio 公司的产品安全团队精力 Yashvier Kosaraju 表示，将安全融入开发中很重要，“我看重的是对安全的热情而非具体的技能，你能够写代码的更广泛的要求。虽然不一定是生产级别的代码，但我们招聘的主要标准是和开发人员工作的同理心。我希望有人能够和他们合作，给他们需要达成的需求。我们可以提高个体的技能，但无法真正提升他们的同理心。所以我在书中谈到的第一点就是同理心。”

Datadog 公司的产品安全总监 Douglas DePerry 表示该公司的战略类似，“文化是 Datadog 公司的重要组成部分，它告诉我们如何做事情、如何对待他人以及如何与他人合作。”为此，Douglas 将安全专业人员融入到开发团队，以促进相互理解，“我们可以更好地了解这个特定团队如何工作，可以通过修复一些 bug 为他们提供一些价值，或者只是坐在那里提问并交流。”

3、找到冠军

虽然安全冠军计划的好处人尽皆知，但培生公司的DevSecOps 负责人 Nick Vinson 指出，让事情持续鲜活有趣很重要，“因为我们一直在对安全冠军计划开展常规培训和攻击演示，但我们发现大家对安全冠军的热情快速提升，而且开发人员也越来越愿意将自己提名为安全冠军。”安全冠军越多，Nick 的团队就越能更好地管理开发视角。他指出，“我们拥有的安全冠军越多，就会得到越多的开发反馈。这样我们所做的安全能力和测试功能就会得到改进。”

4、理解代码

InVision 公司的安全工程师 Sara Dunnack 在提到优化团队沟通时表示，安全专业人员需要了解自己所保护的代码库，否则就不具备可信度。她指出，“团队中的每个人都是真正的开发者第一、安全第二，显然安全很强大，但也需要深入代码。我认为这是很多安全人可能没想到的最大事情，尤其系统管理员更甚。你需要埋头代码并真正地帮助开发人员、展示给他们具体哪一行代码有问题。”

5、 有耐心

“不是我们和他们，而是我们一起。“Cybercom 公司的首席安全官 Siren Hofvander 表示，她坚决反对这种观点：认为安全仅仅针对”知情的人“，仅凭同理心就会大大改进企业安全态势。她认为安全团队的作用是正确接近开发人员并接受需要时间的事实。她指出，”因为作为一种支持功能，我们必须一直在场。开发团队可能要花三个月才能放下戒备，真正地接受我们，但一旦实现这一点就可以年复一年地和开发团队建立积极的关系。“

6、 站在同一层面

Jet 还表示安全和开发社区必须站在同一高度，“如果我们没有刻意获得他们的知识并给予他们所需的深层技术知识，那么我们就没有增加价值。“

7、衡量成功

文化创建的成功与否真的可以衡量吗？思科公司的 Amanda Honea-Frias 认为可以。她通过清晰的规划触及同理心和文化构建，因此她自然要评估效果。她表示调查不仅衡量了成功与否还提供了持续受到反馈的另一种方法。她表示，“基本上我们关注的是保持渠道畅通，发送调查问卷是其中之一。任何你能够获得反馈的方法都可以，或者直接和开发人员聊他们想要什么而不是我们想要什么。”

推荐阅读

为增强软件供应链安全，NIST 发布《开发者软件验证最低标准指南》

给开发者的9个安全建议：既能保护供应链安全，也不会拖慢开发进程

微软开源用于大规模查找并修复漏洞的开发者工具 Project OneFuzz 框架

原文链接

https://snyk.io/blog/steps-to-improve-developer-security/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~