写点什么

宜信 SDL 实践:产品经理如何驱动产品安全建设(上)

  • 2020-02-06
  • 本文字数:1583 字

    阅读完需:约 5 分钟

宜信SDL实践:产品经理如何驱动产品安全建设(上)

一、序言

本文从产品经理的角度出发,对产品经理的安全职责、产品驱动安全的内涵、工作内容、工作方法、所需安全资源、以及产品经理的安全工作量进行了分析。希望所有产品经理在没有心理负担的情况下,有目标、有方法、有资源推进产品安全建设。

二、背景

安全是软件产品天然属性的一部分,“无安全不金融”,对于金融软件产品而言,安全尤为重要,因为客户总是能够从各种安全漏洞联想到他的金融资产安全和个人信息安全。以前偶尔会在一些安全沙龙或峰会听见同行吐槽,“信息安全说起来重要、做起来次要、忙起来不要”。吐槽背后的原因很复杂,其中很重要的一点是跟产品经理安全意识淡薄、不清楚如何推进产品安全建设有关,比如不重视产品安全属性、产品安全需求不明确、产品安全资源不充分、产品安全建设无从下手等。本文主要站在产品经理的角度,从产品经理能力维度出发,探讨产品经理如何推动产品的安全性建设。


众所周知,安全性作为软件产品的天然属性,从产品定义与规划角度来看,产品经理对产品安全负有不可推卸的责任,但产品经理如何履行自己的安全职责,业界还没有给出一个清晰可行的行动方案。


目前,软件产品安全需求通常是基于开发人员和安全人员的职业常识提出相应的解决方案,比如目前业内比较通用的敏感信息五要素分析方法:


12345
姓名身份证号电话号码银行卡信息联系地址


这种方法简单易行,但往往不能涵盖所有的敏感信息,比如


  • 用户的多系统用户数据关联 ID(超级 ID)。

  • 交易过程中的音视频等多媒体数据。

  • 各种非结构化的文档数据,如合同扫描件。

  • 用户的行为画像数据等内容。


这些信息均为有价值的敏感数据,显然不属于前述的敏感数据范围,但往往没有明确的防护要求。从特定业务场景出发,产品经理对敏感数据范围及其业务价值最有发言权。

三、安全部门的尴尬

前述的敏感信息五要素分析方法是典型的安全驱动产品的方法,即安全部门推动产品相关各团队的安全工作开展。这种模式存在很多弊端,比如:


  • 安全需求可能不完整,职业常识代替不了特定业务场景的深度分析;

  • 产品各团队的安全工作资源无法保证,研发团队有理由认为安全团队干扰研发计划,研发进度与资源不变的情况下,额外增加了工作量;

  • 安全部门通常没机会参与制订研发计划,产品研发计划与安全脱节;

  • 安全团队高度依赖话语权,强制性驱动往往陷入窘境。


1575863898099094621.png


(图一 安全驱动产品)


众多的安全实践表明,安全驱动产品的思路与方法存在众多弊端,如果反过来,产品驱动安全,让产品经理明晰自己的安全职责、主动推动产品的安全建设,就会产生对比鲜明的效果。

四、产品驱动安全的合理性

产品驱动安全并非意味着产品经理单一角色推动产品的安全建设,而是说产品经理主动承担相应的产品安全责任,主动与安全部门一起推动产品的安全建设,由安全驱动产品的单轮驱动转变为产品驱动安全的双轮驱动。如下图所示:


1575863904511034888.png


(图二 产品驱动安全)


安全是软件产品的天然属性,是产品经理职责的一部分。同时产品经理作为产品规划演进与研发资源投入的指挥棒,可以保证研发团队在安全上的适度投入。通过简单分析,产品经理承担产品安全责任,主动推动产品安全建设应该是十分合理的逻辑。

五、产品如何驱动安全

产品经理有意愿做好产品安全,可能会问如下几个问题:


  • 内容方面,产品经理需要做哪些安全工作;

  • 能力方面,为了完成这些工作,产品经理需要具备什么样的安全能力;

  • 方法方面,这些安全工作如何做,才能既兼顾产品业务功能研发与安全,又能保持研发敏捷性和项目管理流程不变形;

  • 安全资源,从安全部门和其他部门可以获取哪些安全支持,来提升自己和研发团队安全工作的效率和效果,降低安全工作的能力门槛;

  • 工作负担,安全工作会不会让产品经理很辛苦,影响其工作品质和生活品质。


为产品经理解决了以上问题,消除其后顾之忧,产品经理才有可能大概率地拥抱安全,从根本上解决研发与安全间的矛盾。


本文转载自宜信技术学院。


原文链接:http://college.creditease.cn/detail/332


2020-02-06 10:33797

评论

发布
暂无评论
发现更多内容

【修复问题】HBuilder打包编译报错汇集(持续更新)

红泥

统一门户的快速构建--基于小程序技术的一种可能

FinFish

统一门户 小程序容器 小程序化 小程序技术

小程序:技术标准与生态的演变

没有用户名丶

ChatGPT火了,客服产业怎么办?

创智荟

知识计算 客服 ChatGPT 数字员工

专访顶象CEO: 新一代AI如何增强验证码安全性

极客天地

出海无从下手?看社交泛娱乐出海「第一趁手工具」怎么说

融云 RongCloud

互联网 社交 融云 泛娱乐 出海

ScaleFlux压缩存储产品通过 PolarDB-PG社区版和PolarDB-X 开源版认证

ScaleFlux

开源数据库 数据压缩 数据库技术 企业数据

日常节省 30%计算资源:阿里云实时计算 Flink 自动调优实践

Apache Flink

大数据 flink 实时计算

您的数据可以压缩吗?

ScaleFlux

存储成本 存储技术 数据压缩

技术同学如何提高职场话语权

老张

话语权 职场影响力

【自己更换模型】如何用 Serverless 一键部署 Stable Diffusion?

阿里巴巴云原生

阿里云 Serverless 云原生 动态模型

分享:两年两度升级数据库,我们经历了什么

OceanBase 数据库

数据库 oceanbase

百度王海峰团队荣获吴文俊人工智能科技进步奖特等奖,成果已应用于文心一言

飞桨PaddlePaddle

走进南京邮电大学!龙蜥导师面对面分享如何通过开源经历获得实习/工作机会?| 开源之夏 2023

OpenAnolis小助手

操作系统 实习 龙蜥社区 开源之夏 南京邮电大学

Spring Boot 单体应用一键升级成 Spring Cloud Alibaba

阿里巴巴云原生

阿里云 微服务 云原生 spring cloud alibaba

解析内存中的高性能图结构

NebulaGraph

数据结构 图数据库

openEuler 社区 2023 年 4 月运作报告

openEuler

Linux 开源 操作系统 openEuler 资讯

解决centos7.0安装mysql后出现access defind for user@'localhost'的错误

北桥苏

MySQL

最高等级!Apache RocketMQ 入选可信开源项目星云象限领导型象限

阿里巴巴云原生

阿里云 云原生 Apache RocketMQ

长三角生物医药产业加速跑,飞桨螺旋桨为创新药企、医药技术伙伴装上AI大模型引擎

飞桨PaddlePaddle

飞桨 生物医药

CCIG 2023 百度飞桨分论坛:大模型时代的图象图形技术变革与实践

飞桨PaddlePaddle

DPDK与ScaleFlux CSD 3000:金融数据处理的创新组合

ScaleFlux

DPDK 存储技术 数据压缩 金融开源

flutter系列之:做一个修改组件属性的动画

程序那些事

flutter 大前端 程序那些事

IaaS预留实例在线交易策略详解

天翼云开发者社区

云计算 大数据 云服务

【web 开发】快来给你的类定个标准 -PHP 的接口技术(64)

迷彩

php 接口 interface 三周年连更 类扩展

轻量级思维导图工具:iMap Builder 免激活版

真大的脸盆

Mac 思维导图 Mac 软件

应用在虚机和容器场景下如何优雅上下线

华为云开源

微服务 云原生

极狐(GitLab)重磅发布新产品「极狐星」,让研发效能看得清,算得准,成就企业精英效能管理

极狐GitLab

DevOps 研发管理 研发效能 极狐GitLab 研发效能度量

MobPush 创建应用

MobTech袤博科技

精通Vue.js系列实例教程 │ Vue组件的数据监听

TiAmo

Vue Web Worker 监听 watche

宜信SDL实践:产品经理如何驱动产品安全建设(上)_行业深度_危国洪 郭建伟_InfoQ精选文章