就我個人而言,維繫開發團隊和安全團隊之間的良好關係是相當重要的。這兩個團隊的目標存在天生的矛盾,開發團隊的重點是推出新功能和服務,而安全團隊則必須確保新軟體不會帶來安全風險。但若能增進雙方的理解與溝通,這種緊張關係並非無法化解。
首先,安全團隊應該強調培訓,由具備開發經驗的人員為新開發人員提供應用程式安全培訓,這樣可以讓開發人員更容易理解安全團隊的觀點。在培訓中,使用公司內部發現的真實案例會更有說服力,並運用實際演示來展現漏洞的危險性,讓開發人員了解修復這些問題的重要性。
此外,安全團隊應當主動消除發現漏洞的污名化心理,讓開發人員了解生產出含有安全缺陷的程式碼是正常的,重點是及時發現並修復。同時,安全團隊也要尊重開發流程,提出合理的修復時間要求,而非苛刻的期限。
選擇準確且使用者友善的評估工具也很關鍵,它們能夠清楚說明問題所在、給出適當的嚴重等級分類,並提供解決方案的建議,這將有助開發人員獨立處理問題。
總的來說,消除兩個團隊之間的隔閡需要持續的努力。透過培訓增加理解,真實案例提升意識,合理的要求體現尊重,以及良好的工具支援等措施,將有助於構建安全與開發的良性互動模式,讓雙方通力合作,為公司創造價值。
詳情請看:
6 keys to navigating security and app development team tensions