企业官网建设流程全解析

ZDNET核心观点

应用安全需董事会层面问责，企业文化影响“设计即安全”工作，运营模式将预防转化为行动。企业聚焦软件策略改变网络安全结果，挑战是在开发周期早期融入安全措施，构建捕捉漏洞和隐患的工具技术。本文将从被动到主动的转变视为文化使命，探讨领导层如何将安全从产品发布后修复提升为发布前设计策略。

传统应用安全与源头安全策略

传统应用安全在产品发布后查找修复漏洞，“源头安全”从根源预防问题。要让此策略成为组织使命，预防需成为有资金支持、可管理且可重复的运营模式。

软件安全是领导层的责任

软件管理从部门责任上升为董事会当务之急。企业开发团队代码用于多方面时，安全设计是高级领导层降低公司重大风险的优先事项。

开发者负责开发，有借助AI增强功能的工具识别跟踪问题。但软件工具和工程团队无法确定全局优先级、分配资源、改变激励机制、解决部门冲突，也不能将风险预防变为核心运营原则。

公司发布报告时，投资者等关注债务。技术和安全债务不易衡量，但反映组织未来维护修复责任，代表多种成本，有时超资产负债表数字。功能范围等因素影响安全债务水平，且技术和安全债务常未充分反映给高级领导层。漏洞指标和问题解决率体现工作进展，但只关注清理，无法显示关键漏洞等增减情况。

CISA的“设计即安全”倡议

美国网络安全和基础设施安全局（CISA）的“设计即安全”倡议建议组织：

• 任命高管担任首席设计安全官，赋予领导者对客户安全结果的决策权。
• 赋予“设计即安全”高管权力，让领导层影响产品投资和降低风险。
• 在财务报告中包含“设计即安全”细节，将客户安全视为业务绩效问题。
• 定期向董事会提供产品安全报告，让客户风险在治理层面可见。
• 创建有意义的内部激励机制，奖励改善客户安全结果的团队。
• 成立“设计即安全”委员会，协调业务和技术团队的预防目标。
• 创建并发展客户委员会，利用客户反馈改进产品安全。

CISA关注交付产品时的“设计即安全”，企业还应将其用于内部运营。

将应用安全融入企业文化

企业文化无形，有政策手册和管理指令，也有基于各级信号的文化。将应用安全融入企业文化很重要。

安全不能只是说“不”的团队，安全意识应成共同实践，产品经理、架构师、开发者、安全团队都要发挥作用。

曾有年轻担任CEO时，公司规模四月内翻倍，划分部门后出现部门地盘之争，生产力受阻，小团体产生，变化在周末发生。禁止使用“部门”一词后，大家又重新合作。

将预防作为企业文化核心，要解决开发者抵触和责任归属问题。融入过程中注重沟通质量，以明确要求等形式传达安全细节，开发者更愿协助支持发布前优化和风险缓解流程。

决策必要，开发者需帮助确定业务优先级，如优先处理设计问题还是发布新功能。可靠的发布前质量管理需明确各项责任，建立管理结构保护开发者和测试人员。模糊性和责任冲突会削弱对质量和安全的追求，企业文化不能营造推诿责任的环境。

将应用安全转化为运营模式

商业模式是公司赚钱方式，运营模式是开展业务方式，描述公司为客户创造价值和自我管理方式。许多公司运营模式未明确规定，将活动转化为系统后，运营模式会成倍增力量。

咨询公司麦肯锡定义运营模式为组织核心，为决策等活动提供指导框架，提高效率和实现可持续增长。

软件开发基础设施支撑组织价值创造活动，建立企业级软件可靠性和安全运营模式有意义。组织高级领导层认识到早期预防性安全和代码开发需求后，需定义角色等，使早期应用安全流程成组织正常运营一部分。

定义预防性安全运营模式需回答：

• 谁负责安全设计决策？
• 何时进行威胁建模？
• 哪些功能需要进行安全审查？
• 团队应该使用哪些安全模板或经过批准的组件？
• 谁可以批准例外情况？
• 如何处理依赖项风险？
• 哪些指标可以表明预防措施是否有效？
• 董事会或高管团队如何衡量进展？

通过实施运营模式，可将早期安全和代码可靠性融入各阶段。

提高企业弹性

遵循最佳建议也可能后期遇安全问题或漏洞，采用“设计即安全”方法也不能保证网络不被攻破。倡导最佳实践可减少紧急情况，降低安全和技术债务，减少可预防缺陷，获取经验，定义安全默认设置，运用工程判断，建立内部系统。

这些实践提高企业弹性，弹性有多种定义，建议核心是恢复能力。构建代码安全和可靠性弹性，可提高逆境恢复能力，减少自身造成的困境。

你认为哪一项改变能最大程度地提高组织从软件安全问题中恢复的能力？