危险！安全人员和开发运维人员之间的误解

安全团队与开发运维人员团队之间的误解可以将企业置于业务风险之中

从物理和金融风险到战略和运营风险，企业今天被各种风险包围着。企业和员工必须沟通这些风险，这将促进企业的团结。这种沟通需要IT开发、运维人员、安全人员(DevOps)合作。这些团队应该清楚地认识到应用程序的安全性和业务风险波动之间的关系，这将使他们在解决安全风险时进一步了解自己的职责。相对而言，失败的沟通也会使整个企业处于危险之中。

倾向于聘请开发运维人员的企业通常追求高投入产出比、内部持续创新和高敏感性的客户响应能力。大多数领导团队最害怕的是竞争对手的创新和进步，以及疏远应该抓住的客户，导致销售损失。因此，安全团队的发言权远低于开发运维团队，更不用说阻止后者了。即使在理想情况下，安全团队也只能对他们产生一些影响。

如果安全团队想商家、开发运维人员有效沟通，就需要了解应用安全与企业面临的风险波动之间的关系。如果这个目标能够实现，安全团队在信息风险问题上会有更多的发言权。但是，如果忽视这些风险，企业就会遇到各种安全问题，团队地位也会暴跌。

避免沟通失败***之一步是了解开发团队不需要的安全措施。***实践指南不尊重技术现实，如“加密数据库中的所有数据”，这样的指南显然没有实际意义。标准应适用，开发团队可行。缺乏开发经验的安全团队经常误入这个陷阱。

此外，缺乏安全测试中的漏洞信息管理是有害的。检测工具会误报。虽然确定了这些漏洞，但这些漏洞“漏洞”不能反映系统或软件的真正弱点。该工具还将错误地报告检测到的漏洞的严重程度，并导致不合理的优先级。在与开发和维护团队沟通时，漏洞不仅浪费时间，而且降低了安全团队的可信度。

***结果是：沟通缺乏兼容性的漏洞，或形成未修复的日志。最糟糕的结果是，开发团队把时间浪费在无用的补丁上。应用程序的安全性往往是不可预测的，因此许多开发团队很难仅仅依靠自己来理解这些漏洞。如果他们不能意识到这些内容，他们就不能正确地评估漏洞的风险，也不知道如何解决它们。兼容性和支持是开发团队成功的关键。

开发运维团队需要与安全团队沟通哪些内容？

当安全团队与开发人员沟通漏洞时，必须确实存在并准确评估漏洞。安全团队对漏洞影响的解释将使开发、运维团队更加了解。有针对性的补救建议非常重要，它需要尽可能符合开发团队使用的语言和框架。这使得它更容易解决问题，更快更有效地修复漏洞，并提高修复漏洞的时间输出比。目标明确的漏洞修复也更容易一次性成功。

安全团队还可以为漏洞的处理和合规性提供有价值的指导。开发团队一旦因漏洞而受到处罚或关闭，就需要及时获取漏洞信息***修正时间。

除了漏洞外，安全团队还可以进一步沟通系统架构建议，以便更好地设计和应用，以减少系统因合规要求而受到的约束。例如，将信用卡相关事交给可信的第三方可以避免系统需求不符合要求PCI-DSS评估。另一个例子是不存储不必要的个人身份信息(PII)避免人工管理数据的风险。营销人员通常想要存储所有可访问的数据，但系统设计师需要了解存储过多数据对隐私和安全的影响以及相关风险。

安全团队与开发运维团队之间的误解将使企业面临风险。当与业务风险相关的应用安全对业务产生影响时，安全团队应站出来进行沟通。如果安全团队能够从品牌、金融、战略等方面进行风险评估，他们将成为开发运维团队最可靠的建议，并帮助开发运维团队建立和维护安全体系。

【本文是51CTO专栏作者李少鹏的原创文章，请通过安全牛转载(微信微信官方账号)id:gooann-sectv）获取授权】

戳这里，看作者更好的文章