在你的研發團隊中，什么才構成“安全威脅”？又該如何有效地識別、分類并應對這些威脅？每個人都希望保障團隊、系統和服務的安全，然而由于這個話題過于龐大且令人望而生畏，同時過往的討論和研究成果離工程團隊的日常工作依然存在結合不足的情況。

本文將幫助你把安全威脅拆解為一系列可管理的步驟，從理解威脅、分類威脅，到有效地應對它們。我們從一個問題開始吧。

一、什么是威脅？

威脅的類型和嚴重程度往往取決于具體的上下文和視角，不同的研發團隊可能得出大相徑庭的結論。現實工作中存在的威脅多種多樣，舉幾個常見的例子：

• 明文憑證存儲: 密碼、API 密鑰或私鑰被以明文形式保存在代碼、配置文件甚至個人筆記中，極易被竊取和濫用。
• CI/CD① 憑證暴露: 構建流水線的日志中輸出了服務賬戶的訪問令牌或密鑰，任何有權限查看日志的人員都可能無意間獲取這些敏感信息。
• 腳本誤操作: 自動化腳本缺乏驗證與回滾機制，一次執行就可能清空整個數據庫、刪除多張表或中斷生產服務。
• 越權訪問接口: 某個 API 缺乏嚴格的權限驗證，用戶 A 可以通過調整請求參數訪問到用戶 B 的數據，構成嚴重的數據泄露。
• 配置漂移: 不同環境下的配置未同步，導致測試環境正常但生產環境出錯。典型如數據庫連接字符串、緩存策略或服務依賴項配置差異。
• 第三方依賴漏洞: 系統中引入了已知存在高危漏洞的開源庫，卻因缺乏依賴監控機制而長期未被升級或替換，成為攻擊者的可利用入口。
• 文件上傳漏洞: 系統允許用戶上傳文件，但未對上傳文件類型、大小、內容進行驗證，導致惡意腳本或病毒被成功上傳并執行。
• 功能開關誤配: Feature Toggle 配置錯誤，導致半成品功能被意外上線，或關鍵功能被關閉，直接影響用戶體驗甚至引發生產事故。
• 日志泄露: 在調試過程中輸出用戶姓名、身份證號或訪問令牌，且未在上線前清除調試代碼，最終這些信息被寫入生產環境的日志系統，如 AWS CloudWatch 或 SumoLogic，造成用戶敏感信息暴露。
• 接口變更缺乏兼容性: API 接口更新未做向后兼容，集成方調用失敗，引發連鎖問題和用戶投訴。
• 缺乏監控告警: 關鍵系統異常時，沒有有效的監控和告警，導致問題遲遲未被發現，大大增加問題的影響范圍和恢復成本。 
• 個人賬戶混用: 開發人員在工作設備上登錄了自己的 GitHub 或郵箱，可能導致私人數據泄露，也可能將公司代碼誤同步到個人賬戶中，造成代碼泄露。

釋義: CI/CD 是現代軟件開發中的一種自動化實踐，分別代表CI( Continuous Integration，持續集成)、CD(Continuous Delivery/Continuous Deployment，持續交付 / 持續部署) CI/CD 的目標是通過自動化流程，讓代碼從開發到上線更快、更穩定、更安全，縮短反饋環。

這些威脅雖看似細微，實則暗藏風險。一些源自日常操作的疏忽，一些源自架構設計的短板，另一些則隱藏在自動化和依賴管理中，像溫水煮青蛙一樣，直到爆發才引起注意。

而當這些威脅交織在一起、毫無規律地出現在工作流中時，我們很難聚焦重點，也難以知道該從哪一類威脅入手。因此，在接下來的部分，我們將介紹一個實用的方法：“威脅四象限分類法”。通過它，我們可以將這些威脅劃分為幾個關鍵維度，更有效地歸類并應對。

二、威脅四象限分類法：聚焦安全威脅

上節中我們看到了幾種類型的威脅，它們來源不同、形態各異，既包括日常開發操作中的疏忽，也包括系統層面的設計缺陷。面對這么多威脅，如果不加分類處理，容易陷入“到處是火卻不知道先滅哪一個” 的困境。為更高效地識別、溝通及應對各類威脅，本文引入一種實用方法 —— 威脅四象限分類法（Threat Quadrant Classification），將常見威脅根據其來源與影響對象：開發人員 vs 系統開發，安全威脅 vs 非安全威脅 這兩個維度進行劃分，幫助團隊快速聚焦安全威脅，劃分規則如下：

• 開發人員相關的非安全威脅：這些問題雖然不涉及安全，但容易對交付質量、系統穩定性產生負面影響。例如配置不一致、測試腳本誤刪生產數據等，雖不屬于安全威脅，但常常是生產事故的“根源”。
• 系統開發相關的非安全威脅：這類問題多發生在系統層級，雖不涉及安全，通常也不帶來數據泄露的風險，但容易對交付質量、系統穩定性產生負面影響。如接口兼容性問題、缺乏監控導致系統異常難以被及時發現，或功能開關未正確配置導致系統出現意外行為等問題。
• 開發人員相關的安全威脅：這類威脅源于開發團隊的日常行為、流程習慣或安全意識不足。比如憑證管理不當、將敏感信息暴露在日志中，或者混用個人與工作賬戶等。雖然這些問題看似微小，但在實際中非常常見，且極易引發嚴重的信息安全事故。
• 系統開發相關的安全威脅：這類威脅存在于系統架構設計、API 實現、文件管理策略或依賴管理中。通常是系統本身存在缺陷，攻擊者可能利用這些漏洞越權訪問、注入惡意代碼或發動攻擊等。

根據定義，我們可以將上一節中的不同威脅歸類到四個象限中：

通過這種分類方式，我們可以清晰地聚焦 “開發人員相關的安全威脅” 與 “系統開發相關的安全威脅” 這兩個象限中的問題，并在下一節深入探討如何有效地識別和處理這些安全威脅，建立一套 “把安全內建進去” 的工作方式。

三、應對策略：針對性解決

通過前文的威脅示例與四象限分類，我們可以清晰地看出，不是每個威脅都需要以安全威脅來對待，也不是每張開發故事卡都涉及安全威脅。正因如此，我們才更需要一個系統性的方法來幫助團隊識別重要的安全威脅，并采取合適的應對措施。

為了聚焦重點，我們將主要應對的范圍聚焦在兩個象限：

• 開發人員相關的安全威脅
• 系統開發相關的安全威脅

這兩個象限所對應的威脅，往往具備以下兩個特征：

• 對數據、系統或用戶的安全有直接影響；
• 如果被攻擊者利用，將可能導致數據泄露、服務中斷或合規風險。

1. 開發人員相關的安全威脅應對策略

對開發者面向的安全威脅，建議從流程規范、工具支持和文化建設三個方面入手，通過清晰可執行的措施，將安全理念融入日常開發工作中。

(1) 建立開發安全基線

• 制定團隊統一的安全開發準則：包括憑證管理、日志脫敏、個人賬戶隔離等要求，形成書面化規范，并進行版本管理。
• 將安全準則納入 Onboarding 流程：確保新員工在入職階段了解并簽署安全使用協議，避免因認知差異造成安全疏漏。

(2) 強化憑證與敏感信息管理

• 使用密碼管理工具（如 1Password、Bitwarden）集中管理個人憑證，禁止在本地文件或紙質筆記中保存明文密碼。
• 配置 IDE 插件或 Git hook腳本，在提交代碼前自動檢測憑證信息，阻止意外提交敏感數據。
• 為常見服務配置臨時憑證并遵從最小權限訪問控制（Least Privilege），降低憑證泄漏帶來的潛在損害。

(3) 規范日志使用和信息輸出

• 設置合理的默認日志級別（如Info），并且確保任何情況下都不應該將用戶郵箱、Token、手機號等敏感信息完整打印到日志中。
• 開發環境中啟用日志脫敏中間件，在控制臺或本地日志中自動屏蔽敏感字段。
• 定期運行日志掃描任務，識別并清理歷史日志中的敏感數據，防止遺留風險。

(4) 清理與隔離個人賬戶信息

• 在工作設備上禁用個人賬號自動登錄（如瀏覽器、GitHub、Slack），統一使用工作賬號登錄。
• 使用容器（如 Docker Desktop）或虛擬機隔離實驗環境與生產環境，防止混用導致配置泄漏。

(5) 工具與流程自動化

• 在 CI/CD 流程中集成憑證掃描和安全 Linter 工具（如 TruffleHog、Gitleaks），將安全檢測左移到開發階段。
• 設置強制分支保護與 Pull Request 檢查，在合并前引導審查潛在的安全問題。

(6) 安全意識融入日常

• 每月開展一次輕量化的“開發者安全午餐會”或案例分享，傳播真實場景中的安全事件與應對措施。
• 通過安全問答、知識卡片等方式持續性提醒安全細節，將安全思維潛移默化地嵌入工作流程中。

為了降低認知負載并提升執行一致性，我們建議每個團隊維護一個 “安全 Do's & Don'ts 清單”，在新成員入職和項目啟動階段強調執行。如下面的例子：

小結

通過應用上述應對策略，我們發現在眾多團隊中安全內建效果得到了可喜的提升。在團隊數量和成員規模擴大超過100%的背景下，得益于團隊整體保有的安全意識，由于開發人員行為而導致的安全事故數量反而呈現下降趨勢，并在截稿時保持年度 0 安全事故的成果。

到這里咱們討論了在研發團隊中如何識別、分類并應對安全威脅。引入了 “威脅四象限分類法” 并深入討論了開發人員相關的安全威脅，下篇，咱們將繼續分析如何應對系統開發相關的安全威脅。