Marisa Fagen 访谈：安全卫士

看新闻很累？看技术新闻更累？试试下载 InfoQ 手机客户端，每天上下班路上听新闻，有趣还有料！

据安全专家 Marisa Fagen 介绍，安全专家和开发人员的比例至多是 3:100。逻辑上讲，这样一种限制无疑把安全专家推上了高度争用的位置，这很容易成为瓶颈。在有的环境里，安全反馈出现在开发周期末尾，这会导致情况更糟糕，因为那时候返工的成本最高。为了解决这个问题，近日，Fagen 在 QCon 伦敦 2018 大会上谈了提升工程团队成员技能，让他们承担起安全卫士的角色。她主张，组织要开展正式的项目，有计划的提升个体的技能，搭建和组织安全团队之间的桥梁。

Fagen 是 Synopsis 产品安全部门负责人，她做了题为“安全卫士：只有你们能阻止文件伪造”的演讲，提出了一种应对安全专家争用的策略。她提出了透明安全卫士项目，专注于在安全工程师和团队个体之间搭建桥梁，支持他们提升技能，让他们成为安全卫士代理人。

Fagen 把安全卫士定义为“在团队或组织内倡导代码健壮和过程安全”的人。根据组织规模的不同，这个安全卫士可以面向一个团队、一组团队甚或是整个组织。Fagen 解释说，个人可以通过以下实用方法开始为安全而努力：

• 寻求额外的安全培训
• 密切关注相关 CVE
• 提出安全 Bug
• 安全宣传
• 向安全团队伸出橄榄枝并建立联系
• 把安全反馈集成到 CI/CD 管道中

Fagen 还建议，安全卫士应该开始创建应用程序的威胁模型，突出风险，协助安全团队了解团队的应用程序。Fagen 建议利用OWASP 的攻击备忘录进行应用程序威胁建模。“从常见的威胁入手，搭配一个风险模型，如DREAD 等级。”她解释说，提出一种严重性度量指标，有助于安排工作的优先级。

Fagen 谈了组织支持的必要性，那样，安全卫士的价值、花费的时间、潜在的风险都是透明且经过度量的。除了个体安全卫士外，她还谈了组织在公司范围内开展安全卫士项目把专有程序所有者培养成安全卫士的终极招数。Fagen 谈到，公司要支持安全卫士把 10% 到 20% 的时间用于提升安全能力。

她建议组织着手制定试点方案，然后由此发展成为嵌入公司文化的项目，并通过激励计划促进。在谈到建立沟通桥梁的重要性时，Fagen 提醒听众，“有些过程需要面对面交流”。她继续指出，安全卫士是一种关系管理角色，涉及与业务及现有的安全团队建立信任关系。她还说，项目所有者需要和安全团队及安全卫士一块工作，可以是直接的，也可以是创建一个角色清晰的安全卫士金字塔。Fagen 建议，一名安全责任人下面最多有 15 名安全卫士，可能需要进一步分解成“更小的安全专家和安全卫士群体”。

回到由于安全专家数量有限导致的争用问题，Fagen 最后提醒听众，“安全团队需要你的帮助。接收邀请，成为一名安全卫士吧。”

InfoQ 与 Fagen 取得了联系，探讨了她演讲中的部分话题。

InfoQ：您在演讲中重点强调了组织支持的必要性。您发现有什么有效的方法能够突出提升安全能力的价值吗？

Marisa Fagen：ROI 相当高。就和领导有关系的方面来说，团队能力的提升和业务改善速度可以抵消培训和项目管理成本。而且，安全卫士项目可以帮助交付客户需求。通常，获得组织支持更多的是要找一个有激情的人让领导明白我们的意图。

InfoQ：您能给我们讲一个关于安全卫士项目成功实施的趣闻轶事吗？

Fagen：我已经见过许多成功的项目，我在安全团队和开发团队之间推动了关键的对话，促成了及时发布，而不是因为安全问题宣布特性冻结，但我从未因此得到应有的赞扬。

InfoQ：您能介绍下第一次参加安全卫士项目的经历吗？

Fagen：我第一次获得开展安全卫士项目的机会是 2015 年在 Salesforce。我们感受到了一家大型公司里覆盖缺口所带来的痛苦，我们听说 Adobe 在开展一个培训项目，员工参加额外的安全培训，赚取不同颜色的绶带。我们设立了一个新角色，在安全测试方面为开发人员提供额外的培训，让他们拥有新技能。这很受欢迎。

InfoQ：什么类型的安全卫士更适合非技术团队成员，比如那些从事 UX 和产品管理职责的成员？

Fagen：虽然这个项目是面向工程师的，但其他角色也应该愿意把安全当成自己的职责。关注当前的最新趋势和消息。有时候，只要在正确的时间提一个问题就非常有助于想到安全问题。

未来几个月，InfoQ 将提供 Fagen 演讲的幻灯片和视频。

查看英文原文： Q&A With Marisa Fagen on Security Championship