“安全” 不是一个脏话：积极的方法将如何改变你的安全计划

最初发布于 DevSeccon 博客。

我一直站在两边，我非常清楚开发团队和AppSec专家之间在维护安全最佳实践方面可能出现的紧张关系。

这很艰难；归根结底，开发人员的首要任务是提供软件功能。它们必须美观、实用，并有助于展示应用程序的强大功能。如今，敏捷开发实践通常正在发挥作用，因此这些功能必须在严格的最后期限内完成... 而且安全性很少成为人们关注的重中之重，还有太多其他问题。

安全被视为 AppSec 团队的职权范围，他们的任务并不令人羡慕，那就是扫描代码（或者更糟糕的是：手动逐行审查），并向开发团队报告他们的代码不安全或实际上完全无法使用。他们是那些把自己的出色工作搞得一团糟，阻碍创新，通常会让开发人员头疼。归根结底，许多安全问题都是一个非常简单的解决方法 “也许只要一行代码就能在几分钟内强化易受攻击的后门。

但是，问题就在这里。由于 “安全” 是负面体验的代名词，开发人员根本没有像应有的那样密切地参与其中。这些单行修复并未发生：毕竟，AppSec的人员不断遇到同样的问题。在我们首次发现SQL注入缺陷（以及随后的修复）二十多年后，他们仍在指出这些缺陷，肯定是非常疯狂的。

我们迄今为止所做的工作并没有像我们希望的那样有效。我们需要专注于修复开发人员与AppSec专家之间的桥梁，努力营造一种积极的安全文化，在这种文化中，为开发人员提供在这一领域产生真正影响的工具和培训。

谁知道？他们甚至可能像我一样爱上它！

积极安全性是提高应用程序安全性的最快和最简单的方法

可惜” 不是，对无形的结果不是胡说八道。它是安全编码成功秘诀中绝对至关重要的要素。

开发人员从生产之初就掌握着提高安全性的关键，首先要编写安全代码。通过营造积极的安全文化并让开发人员对应用程序安全性感到兴奋，可以在AppSec领域进行扫描或手动代码审查之前消除常见漏洞。

它是 修复已提交代码中的漏洞的成本要高出三十倍，因此，寻找能够发挥开发者优势、引起兴趣并切实有效的培训是未来识别和修复这些反复出现的漏洞在降低成本方面迈出的重要一步。

积极的、以开发人员为中心的举措促进了正确的安全文化。

当每个人都对安全最佳实践达成共识时，积极的安全文化是一种快乐、至关重要的副产品。

以开发人员为中心的积极、可扩展的举措促进了正确的安全文化。调动具有解决问题能力和创造力的开发人员对于赢得他们的青睐，以及确保任何新员工都能快速满足团队对安全的期望至关重要。 取得联系 概述开发者安全关系是如何演变的，以及在自己的组织中成功推出安全意识计划的想法。