原文发表于 报道.

我曾经站在围栏的两边，非常了解在维护安全最佳实践方面，开发团队和AppSec专家之间可能出现的紧张关系。

这很难；在一天结束时，开发人员的主要任务是提供软件功能。它们必须美观、实用，并有助于展示应用程序的功能。如今，随着敏捷开发实践的开展，这些功能必须在严格的期限内完成......而在如此多的利害关系中，安全问题很少被放在首位。

安全被看作是AppSec团队的领域，他们的任务是扫描代码（或者更糟糕的是：手动逐行审查），并向开发团队报告他们的代码不安全或者完全无法使用。他们是泥巴里的棍子，把他们的好工作挑出来，阻止创新，一般来说，给开发者带来了头痛的问题。在一天结束时，许多安全问题是相当简单的修复 " 也许只是一行代码可以在几分钟内加强一个脆弱的后门。

但是，问题就在这里。由于 "安全 "是负面体验的代名词，开发人员根本就没有像他们应该做的那样密切关注安全问题。那些单行的修复措施并没有发生：毕竟，AppSec的人不断地遇到同样的问题。对他们来说，在我们第一次发现SQL注入缺陷（以及随后的修复）的20多年后，仍然指出这些缺陷，一定是很令人抓狂的。

迄今为止，我们所做的事情并没有像我们希望的那样有效。我们需要专注于修复开发者和AppSec专家之间的桥梁，努力建立一种积极的安全文化，让开发者获得工具和培训，在这个领域发挥真正的影响。

谁知道呢？他们甚至可能像我一样爱上它!

正面安全是提高应用安全的最快和最简单的方法

不，这不是一些关于无形的结果的胡言乱语。它是安全编码成功秘诀中的一个绝对重要成分。

开发人员从生产的一开始就掌握着提高安全性的关键，首先是编写安全的代码。通过创造一种积极的安全文化，让开发人员对应用程序的安全感到兴奋，常见的漏洞可以在AppSec土地上的扫描或人工代码审查之前就被消灭掉。

修复已经提交的代码中的漏洞的成本要高出30倍，因此，找到能够发挥开发人员的优势、保持兴趣并实际发挥作用的培训是未来降低识别和修复这些重复出现的漏洞的成本的一个巨大步骤。

积极的、以开发人员为中心的举措促进了正确的安全文化。

当每个人都与安全最佳实践保持一致时，积极的安全文化就是一个快乐的、重要的副产品。

积极的、可扩展的、以开发人员为中心的举措可以培养正确的安全文化。吸引开发人员解决问题的创造性思维是赢得他们的关键，同时也确保任何新招聘的人员能够快速掌握团队的安全期望。请联系我们，了解开发者安全关系的发展概况，以及在您的组织中成功推出安全意识计划的想法。