ZDNET核心观点应用安全需董事会层面问责企业文化影响“设计即安全”工作运营模式将预防转化为行动。企业聚焦软件策略改变网络安全结果挑战是在开发周期早期融入安全措施构建捕捉漏洞和隐患的工具技术。本文将从被动到主动的转变视为文化使命探讨领导层如何将安全从产品发布后修复提升为发布前设计策略。传统应用安全与源头安全策略传统应用安全在产品发布后查找修复漏洞“源头安全”从根源预防问题。要让此策略成为组织使命预防需成为有资金支持、可管理且可重复的运营模式。软件安全是领导层的责任软件管理从部门责任上升为董事会当务之急。企业开发团队代码用于多方面时安全设计是高级领导层降低公司重大风险的优先事项。开发者负责开发有借助AI增强功能的工具识别跟踪问题。但软件工具和工程团队无法确定全局优先级、分配资源、改变激励机制、解决部门冲突也不能将风险预防变为核心运营原则。公司发布报告时投资者等关注债务。技术和安全债务不易衡量但反映组织未来维护修复责任代表多种成本有时超资产负债表数字。功能范围等因素影响安全债务水平且技术和安全债务常未充分反映给高级领导层。漏洞指标和问题解决率体现工作进展但只关注清理无法显示关键漏洞等增减情况。CISA的“设计即安全”倡议美国网络安全和基础设施安全局CISA的“设计即安全”倡议建议组织任命高管担任首席设计安全官赋予领导者对客户安全结果的决策权。赋予“设计即安全”高管权力让领导层影响产品投资和降低风险。在财务报告中包含“设计即安全”细节将客户安全视为业务绩效问题。定期向董事会提供产品安全报告让客户风险在治理层面可见。创建有意义的内部激励机制奖励改善客户安全结果的团队。成立“设计即安全”委员会协调业务和技术团队的预防目标。创建并发展客户委员会利用客户反馈改进产品安全。CISA关注交付产品时的“设计即安全”企业还应将其用于内部运营。将应用安全融入企业文化企业文化无形有政策手册和管理指令也有基于各级信号的文化。将应用安全融入企业文化很重要。安全不能只是说“不”的团队安全意识应成共同实践产品经理、架构师、开发者、安全团队都要发挥作用。曾有年轻担任CEO时公司规模四月内翻倍划分部门后出现部门地盘之争生产力受阻小团体产生变化在周末发生。禁止使用“部门”一词后大家又重新合作。将预防作为企业文化核心要解决开发者抵触和责任归属问题。融入过程中注重沟通质量以明确要求等形式传达安全细节开发者更愿协助支持发布前优化和风险缓解流程。决策必要开发者需帮助确定业务优先级如优先处理设计问题还是发布新功能。可靠的发布前质量管理需明确各项责任建立管理结构保护开发者和测试人员。模糊性和责任冲突会削弱对质量和安全的追求企业文化不能营造推诿责任的环境。将应用安全转化为运营模式商业模式是公司赚钱方式运营模式是开展业务方式描述公司为客户创造价值和自我管理方式。许多公司运营模式未明确规定将活动转化为系统后运营模式会成倍增力量。咨询公司麦肯锡定义运营模式为组织核心为决策等活动提供指导框架提高效率和实现可持续增长。软件开发基础设施支撑组织价值创造活动建立企业级软件可靠性和安全运营模式有意义。组织高级领导层认识到早期预防性安全和代码开发需求后需定义角色等使早期应用安全流程成组织正常运营一部分。定义预防性安全运营模式需回答谁负责安全设计决策何时进行威胁建模哪些功能需要进行安全审查团队应该使用哪些安全模板或经过批准的组件谁可以批准例外情况如何处理依赖项风险哪些指标可以表明预防措施是否有效董事会或高管团队如何衡量进展通过实施运营模式可将早期安全和代码可靠性融入各阶段。提高企业弹性遵循最佳建议也可能后期遇安全问题或漏洞采用“设计即安全”方法也不能保证网络不被攻破。倡导最佳实践可减少紧急情况降低安全和技术债务减少可预防缺陷获取经验定义安全默认设置运用工程判断建立内部系统。这些实践提高企业弹性弹性有多种定义建议核心是恢复能力。构建代码安全和可靠性弹性可提高逆境恢复能力减少自身造成的困境。你认为哪一项改变能最大程度地提高组织从软件安全问题中恢复的能力