SEC11-BP08 建立规程,让工作负载团队负责安全领域 - AWS Well-Architected Framework

SEC11-BP08 建立规程,让工作负载团队负责安全领域

建立规程或机制,使构建者团队能够针对创建的软件作出安全决策。这些决策仍然需要由安全团队通过审查加以验证,但让构建者团队负责安全领域可以构建速度更快、安全性更高的工作负载。此机制还可促进负责任文化,进而对所构建系统的运营产生积极影响。

期望结果:为了让构建者团队负责安全性和决策制定,您可以向构建者团队提供安全思维方式方面的培训,或者让安全人员加入构建者团队或与构建者团队联系在一起,从而增强他们的培训。这两种方法都有效,并且可以让团队在开发周期的早期作出更高质量的安全决策。这种负责任模式基于应用程序安全性培训。从特定工作负载的威胁建模开始,有助于将设计思维集中在合适的场景中。拥有一个专注于安全的构建者社区,或者拥有一组与构建者团队合作的安全工程师带来的另一项好处是,您可以更深入地了解如何编写软件。这种了解帮助您确定自动化能力的下一个改进领域。

常见反模式:

  • 将所有安全设计决策交给安全团队。

  • 在开发过程中没有及早满足安全要求。

  • 没有从构建者和安全人员那里获得关于计划运营的反馈。

建立此最佳实践的好处:

  • 缩短完成安全审查的时间。

  • 减少等到安全审查阶段才检测到安全问题的情况。

  • 提高所编写软件的整体质量。

  • 有机会识别和了解系统性问题或高价值改进领域。

  • 进行安全审查后,发现的问题可以在早期进行修复,从而减少所需的返工量。

  • 提升对安全功能的认知。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

SEC11-BP01 应用程序安全性培训中的指导开始。然后确定您认为可能最适合您组织的计划的运营模式。两个主要模式是对构建者进行培训,或在构建者团队中加入安全人员。确定初始方法后,应使用单个或一小组工作负载团队进行试点,以证明该模式适用于您的组织。来自组织的构建者和安全团队的领导层支持有助于计划的成功交付。在构建此计划时,重要的是选择可以用来显示项目价值的指标。了解 AWS 如何解决这个问题是一个很好的学习经验。这个最佳实践非常注重组织变革和文化。您使用的工具应支持构建者和安全社区之间的协作。

实施步骤

  • 首先对构建者进行应用程序安全性培训。

  • 创建一个社区和入门培训计划来对构建者进行培训。

  • 为计划选择一个名称。通常使用守护者、拥护者或倡导者。

  • 确定要使用的模式:培训构建者、加入安全工程师或具有相关性安全角色。

  • 从安全性、构建者和可能的其他相关团体中确定项目发起人。

  • 跟踪参与计划的人数、审查所花时间以及来自构建者和安全人员的反馈等指标。使用这些指标来作出改进。

资源

相关最佳实践:

相关文档:

相关视频: