無論你將其稱為左移安全、預(yù)置安全，還是設(shè)計安全，當(dāng)今具有前瞻性的企業(yè)都明白，他們不僅需要將安全作為單個應(yīng)用程序的整個生命周期的考慮因素，而且還需要考慮其支持的業(yè)務(wù)產(chǎn)品的整個生命周期。為了做到這一點(diǎn)，越來越多的企業(yè)使用產(chǎn)品安全團(tuán)隊(duì)和產(chǎn)品安全官作為實(shí)現(xiàn)這一變化的一種方式。

產(chǎn)品安全將傳統(tǒng)應(yīng)用程序安全的范圍遠(yuǎn)遠(yuǎn)擴(kuò)展到測試之外，并擴(kuò)展到倡導(dǎo)、業(yè)務(wù)組之間的協(xié)作、設(shè)計思維、威脅建模、架構(gòu)規(guī)劃和真正的風(fēng)險管理領(lǐng)域。Appdome的首席產(chǎn)品官Chris Roeckl表示：“通過積極參與開發(fā)過程的每個階段，產(chǎn)品安全團(tuán)隊(duì)幫助將安全考慮因素嵌入到軟件的設(shè)計、架構(gòu)、編碼、測試和發(fā)布到生產(chǎn)中。”這種主動的方法是一個良性循環(huán)，將漏洞風(fēng)險降至最低，并確保安全是最終產(chǎn)品不可或缺的一個方面。

如果處理得當(dāng)，產(chǎn)品安全將成為兌現(xiàn)DevSecOps倡導(dǎo)者多年來做出的承諾的重要因素。

應(yīng)用安全和產(chǎn)品安全有何不同

雖然應(yīng)用安全和產(chǎn)品安全有一個共同的目的——幫助企業(yè)發(fā)布和維護(hù)安全軟件--但每個功能在實(shí)現(xiàn)這一目標(biāo)中扮演的角色是不同的。谷歌員工云安全倡導(dǎo)者米歇爾·丘比爾卡解釋說：“應(yīng)用安全真正關(guān)注的是測試、驗(yàn)證和工具鏈，而產(chǎn)品安全涵蓋了整個SDLC的業(yè)務(wù)規(guī)則，包括軟件開發(fā)中那些模糊的人為部分。”

此外，雖然應(yīng)用安全團(tuán)隊(duì)深入研究他們負(fù)責(zé)加強(qiáng)的每個單獨(dú)的應(yīng)用程序，但產(chǎn)品安全要著眼于整體情況，端到端地查看幫助提供給定產(chǎn)品的整個堆棧的安全性。產(chǎn)品安全是應(yīng)用程序安全的延伸。應(yīng)用安全集中在保護(hù)單個軟件應(yīng)用程序的代碼和功能上。“Contrast Security公司的CISODavid Lindner說。產(chǎn)品安全考慮到更廣泛的環(huán)境和各種組件之間的通信可能出現(xiàn)的潛在攻擊載體，從整體上看待整個技術(shù)產(chǎn)品。

這一更廣泛的環(huán)境可以同時包括多個應(yīng)用程序、硬件組件和相關(guān)服務(wù)。產(chǎn)品安全考慮了它們在一起部署時的安全狀態(tài)。

對于一些公司來說，產(chǎn)品安全可能只關(guān)注外部客戶，但其他公司甚至認(rèn)為關(guān)鍵的后端財務(wù)或人力資源系統(tǒng)等內(nèi)部項(xiàng)目也在產(chǎn)品安全保護(hù)傘的范圍內(nèi)。全球軟件開發(fā)公司EPAM Systems的CISO薩姆·拉赫曼解釋說，無論哪種方式，產(chǎn)品安全前景都更加全面。“這涉及更廣泛的范圍，包括運(yùn)營和技術(shù)控制、整體環(huán)境、客戶身份，以及檢測和應(yīng)對服務(wù)中潛在問題的機(jī)制。”他說。

黑莓負(fù)責(zé)產(chǎn)品安全的副總裁克里斯汀·加茲比(Christine Gadsby)表示，看待這一區(qū)別的一種方法是將應(yīng)用程序想象成蛋糕。應(yīng)用程序安全類似于在將其提供給某人之前檢查單個蛋糕，以確保它看起來安全且沒有污染。同時，產(chǎn)品安全是指改善面包店制作蛋糕的方式和他們使用的工具，以確保每一塊蛋糕都是安全和美味的。“產(chǎn)品安全更像是一種‘大局’方法——從開始到結(jié)束的整個烘焙過程，確保你在每一步都有正確的動作和過程，以確保蛋糕有完全正確的成分，滿足你客戶的精致甚至敏感的托盤，并在整個生命周期中保持‘新鮮’，”她說。作為一個企業(yè)，產(chǎn)品安全團(tuán)隊(duì)必須考慮整個產(chǎn)品或系統(tǒng)列表的安全性以及客戶使用它們的內(nèi)容，這些產(chǎn)品或系統(tǒng)可能包括幾個‘配料’或幾個蛋糕。

為什么產(chǎn)品安全正在成為應(yīng)用的趨勢

產(chǎn)品安全已經(jīng)出現(xiàn)在企業(yè)架構(gòu)圖上，這一事實(shí)并不是對傳統(tǒng)應(yīng)用程序安全測試的否定，只是承認(rèn)現(xiàn)代軟件交付需要不同的視角，而不是受過培訓(xùn)的應(yīng)用安全測試顯微鏡。由于技術(shù)領(lǐng)導(dǎo)者已經(jīng)認(rèn)識到應(yīng)用程序不是在真空中運(yùn)行，產(chǎn)品安全已經(jīng)成為幫助觀察單個應(yīng)用程序之間的差距的首選團(tuán)隊(duì)。這個團(tuán)隊(duì)的成員也是安全倡導(dǎo)者，他們可以幫助向可重復(fù)的開發(fā)過程和產(chǎn)生所有代碼的“軟件工廠”灌輸安全基礎(chǔ)。

API安全測試公司StackHawk的聯(lián)合創(chuàng)始人兼CSO Scott Gerlach表示，產(chǎn)品安全的出現(xiàn)類似于DevOps運(yùn)動早期站點(diǎn)可靠性工程的增加。隨著軟件交付的速度越來越快，從開始到交付，可靠性都需要融入到產(chǎn)品中。如今，安全團(tuán)隊(duì)通常在開發(fā)過程中與軟件的交互最少。另一方面，產(chǎn)品團(tuán)隊(duì)在整個生命周期中全力以赴。將安全性納入他們的技能集，并從產(chǎn)品開始到發(fā)布進(jìn)行整合，可以實(shí)現(xiàn)更快、更安全的產(chǎn)品交付周期。這是為了在早期讓安全更接近產(chǎn)品。

同時，產(chǎn)品安全通常不會取代傳統(tǒng)的應(yīng)用安全。應(yīng)用程序安全在保護(hù)軟件方面繼續(xù)發(fā)揮著重要作用，最好是在一個協(xié)調(diào)良好的產(chǎn)品安全框架內(nèi)。EPAM的拉赫曼解釋說：“值得注意的是，產(chǎn)品安全依賴于應(yīng)用安全實(shí)踐來限制和減少應(yīng)用程序中的漏洞。”如果不解決應(yīng)用程序級漏洞，任何圍繞產(chǎn)品的額外安全措施都無法確保高標(biāo)準(zhǔn)。

產(chǎn)品安全團(tuán)隊(duì)可以促進(jìn)安全文化

產(chǎn)品安全在設(shè)計原則下的安全實(shí)現(xiàn)中起著舉足輕重的作用。根據(jù)拉赫曼的說法，它在產(chǎn)品或服務(wù)的設(shè)計階段是不可或缺的。這種參與擴(kuò)展到定義復(fù)雜地編織到產(chǎn)品的架構(gòu)和功能中的強(qiáng)大的產(chǎn)品政策和控制。“。

定義產(chǎn)品策略只是個開始，因?yàn)楫a(chǎn)品安全是工程和開發(fā)、業(yè)務(wù)利益相關(guān)者和安全領(lǐng)導(dǎo)之間協(xié)作的實(shí)際促進(jìn)者。企業(yè)經(jīng)常將該團(tuán)隊(duì)用作推動始終難以捉摸的安全文化的變革推動者，而許多軟件安全大師多年來一直倡導(dǎo)這種文化。

Gadsby說：“產(chǎn)品安全團(tuán)隊(duì)可以通過定期交流安全更新、成功經(jīng)驗(yàn)和挑戰(zhàn)，幫助創(chuàng)建一種有安全意識的文化，讓每個人都能在日常工作中了解安全并將安全放在首位。”他們制定明確的指導(dǎo)方針和標(biāo)準(zhǔn)，提供資源教育員工有關(guān)最佳實(shí)踐的知識，并與開發(fā)團(tuán)隊(duì)合作，將安全性整合到軟件開發(fā)生命周期中。

雖然產(chǎn)品安全確實(shí)做了相當(dāng)多的宣傳和政策工作，但最好的產(chǎn)品安全團(tuán)隊(duì)不會只把繁重的安全需求堆積在別人的肩膀上，而不支持他們。Synopsys Integrity Group的副首席安全顧問杰米·布特(Jamie Boote)表示，它們應(yīng)該幫助減少局限。

布特解釋說：“一種特殊類型的局限會阻礙企業(yè)中的安全，那就是認(rèn)知局限——理解和解決安全問題所需的精神努力。”通過提供培訓(xùn)、明確的要求、可重復(fù)使用的解決方案和按設(shè)計確保安全的組件，團(tuán)隊(duì)只需付出最少的努力即可適應(yīng)和使用這些組件，從而可以減少開發(fā)人員、架構(gòu)師、工程師和其他利益相關(guān)者所遇到的認(rèn)知局限。

拉赫曼表示，通過領(lǐng)導(dǎo)對每個參與產(chǎn)品相關(guān)方面設(shè)計和編碼的人的教育和培訓(xùn)，是產(chǎn)品安全作為安全文化變革推動者角色的關(guān)鍵組成部分。他說：“非安全專業(yè)人士往往缺乏防御性思維或預(yù)測潛在攻擊者視角的內(nèi)在本能——我稱之為‘檢查每一個角落’的觀念。”“分享看似合理的情景，不是為了引起恐懼，而是為了說明襲擊者的潛在行動，這對于在企業(yè)內(nèi)培養(yǎng)安全文化至關(guān)重要。當(dāng)個人掌握了可能出現(xiàn)的情景和面臨風(fēng)險的資產(chǎn)時，他們就更有可能采取正確的心態(tài)。

誰負(fù)責(zé)產(chǎn)品安全?

如果一個企業(yè)沒有在Prodsec團(tuán)隊(duì)中安排合適的人員并建立授權(quán)的報告結(jié)構(gòu)，使他們能夠成功地影響變化，那么所有這些產(chǎn)品安全的職責(zé)和目標(biāo)都是純粹的抱負(fù)。最好的產(chǎn)品安全專業(yè)人員需要擁有技術(shù)熟練和軟技能的體面組合，這將有助于他們促進(jìn)協(xié)作;這不是那些不喜歡與人交談的搖滾明星技術(shù)人員的地方。同樣，他們需要一位負(fù)責(zé)安全以及提供有利可圖產(chǎn)品的業(yè)務(wù)和工程方面的負(fù)責(zé)人。“要領(lǐng)導(dǎo)有效的產(chǎn)品安全，必須任命一位具有產(chǎn)品知識和深厚安全專業(yè)知識的人，”拉赫曼說。他建議，他們將被授權(quán)在四個關(guān)鍵利益相關(guān)者領(lǐng)域進(jìn)行有效溝通：IT、CISO辦公室、開發(fā)/開發(fā)運(yùn)營團(tuán)隊(duì)，以及治理、風(fēng)險和合規(guī)。

根據(jù)企業(yè)的需要和文化，報告結(jié)構(gòu)將有很大不同。如果他們更大的企業(yè)是圍繞產(chǎn)品建立的，一些Prodsec團(tuán)隊(duì)可能會嵌入到工程或產(chǎn)品企業(yè)中。此外，一些團(tuán)隊(duì)可能會根據(jù)監(jiān)管或法律風(fēng)險敞口向法律或合規(guī)部門報告。但有些人通常仍會向CIO/CTO、CISO或副總裁或安全總監(jiān)匯報工作。

拉赫曼說，最常見的直接下屬通常是CISO、CTO和CIO。他說：“在安全企業(yè)在技術(shù)上熟練且強(qiáng)大的情況下，我傾向于向CISO報告。”或者，向負(fù)責(zé)技術(shù)戰(zhàn)略的CTO匯報也可以為產(chǎn)品安全角色提供一個有效的住所。這一選擇最終取決于該企業(yè)的具體動態(tài)和目標(biāo)。

作為黑莓產(chǎn)品安全副總裁，加茲比直接向CISO匯報工作。這將確保產(chǎn)品安全努力與我們的公司安全戰(zhàn)略保持一致，并確保我們在所有產(chǎn)品和服務(wù)中始終如一地實(shí)施安全措施。“。

無論產(chǎn)品安全直接向誰報告，所有專家都同意，CISO應(yīng)該為團(tuán)隊(duì)執(zhí)行的產(chǎn)品安全設(shè)定戰(zhàn)略愿景。CISO通過定義產(chǎn)品安全倡議的戰(zhàn)略方向來塑造和指導(dǎo)產(chǎn)品安全團(tuán)隊(duì)。他們考慮如何將安全性集成到產(chǎn)品開發(fā)生命周期中，并使其與公司的總體目標(biāo)保持一致。CISO還確保產(chǎn)品安全團(tuán)隊(duì)由熟練的專業(yè)人員組成，他們能夠應(yīng)對與產(chǎn)品開發(fā)相關(guān)的一些復(fù)雜挑戰(zhàn)。與其他部門進(jìn)行了大量合作，以確保安全措施無縫集成，他們努力建立安全政策、標(biāo)準(zhǔn)和指導(dǎo)方針。