SEC11-BP08 建立规程,让工作负载团队负责安全领域
建立规程或机制,使构建者团队能够针对创建的软件作出安全决策。这些决策仍然需要由安全团队通过审查加以验证,但让构建者团队负责安全领域可以构建速度更快、安全性更高的工作负载。此机制还可促进负责任文化,进而对所构建系统的运营产生积极影响。
期望结果:您的团队中嵌入了安全所有权和决策权。您要么已经对团队进行了如何考虑安全的培训,要么已通过内嵌或关联的安全人员增强了团队。因此,您的团队在开发周期的早期就做出了更高质量的安全决策。
常见反模式:
-
将所有安全设计决策交给安全团队。
-
在开发过程中没有及早满足安全要求。
-
没有从构建者和安全人员那里获得关于计划运营的反馈。
建立此最佳实践的好处:
-
缩短完成安全审查的时间。
-
减少等到安全审查阶段才检测到安全问题的情况。
-
提高所编写软件的整体质量。
-
有机会识别和了解系统性问题或高价值改进领域。
-
进行安全审查后,发现的问题可以在早期进行修复,从而减少所需的返工量。
-
提升对安全功能的认知。
在未建立这种最佳实践的情况下暴露的风险等级:低
实施指导
从 SEC11-BP01 应用程序安全性培训 中的指导开始。然后确定您认为可能最适合您组织的计划的运营模式。两个主要模式是对构建者进行培训,或在构建者团队中加入安全人员。确定初始方法后,应使用单个或一小组工作负载团队进行试点,以证明该模式适用于您的组织。来自组织的构建者和安全团队的领导层支持有助于计划的成功交付。在构建此计划时,重要的是选择可以用来显示项目价值的指标。了解 AWS 如何解决这个问题是一个很好的学习经验。这个最佳实践非常注重组织变革和文化。您使用的工具应支持构建者和安全社区之间的协作。
实施步骤
-
首先对构建者进行应用程序安全性培训。
-
创建一个社区和入门培训计划来对构建者进行培训。
-
为计划选择一个名称。通常使用守护者、拥护者或倡导者。
-
确定要使用的模式:培训构建者、加入安全工程师或具有相关性安全角色。
-
从安全性、构建者和可能的其他相关团体中确定项目发起人。
-
跟踪参与计划的人数、审查所花时间以及来自构建者和安全人员的反馈等指标。使用这些指标来作出改进。
资源
相关最佳实践:
相关文档:
相关视频:
