在各个大公司中的安全白帽子们都知道让每个人都参与进来是非常重要的一步,那么究竟如何做到呢?下面来简单分析一下
1. 让你的上司或者CEO来推动
a)安全的产品是高质量的产品,你可以问你的上司或者CEO想要搞质量的产品吗,回答是,那你就说明安全就是高质量的产品的观点,如果回答不是,那么你可以滚蛋了
b)媒体(和竞争对手)将会在安全问题上大做文章,而且严重的安全事件也会影响到你们的纳斯达克股票
c)用户不会使用不安全的产品也就是质量上比较差的产品,如果你的用户体验差那么你的竞争对手就有可能抢走你的用户
d)越后期修补漏洞的成本越高,主要原因是安全人员找出漏洞的开销+开发人员修补漏洞的开销+测试开销+安全开销等等开销加在一起,那么你为什么不早解决呢
e)使用自己渗透的方法,例如没人重视,那么你可以自己制造一些严重的安全事件来推动,但是前提是你可控制而且又能引起开发人员以及CEO的重视的前提下。
2. 上司或者CEO支持以后我们需要做一下的事情来开始推动了。这里主要目的是做一个企业内部的安全文化
a)让CEO发一封电子邮件,例如比尔盖茨的可信计算就是从一封邮件开始的
b)寻找一个安全宣传员,主要目的是保持与行业安全问题的一致性另外还可以给安全开发人员提供安全方面的培训。
c)提供持续的安全教育以及培训这个大家都知道了就不多说了
d)对你的bug进行分类,原因参考安全开发经验谈v1.0版本
e)提供持续的安全意识灌输,参考某某培训机构的安全意识宣传策略,例如flash,桌面等等
