過去六年來，我一直在從事Veracode的項目管理工作。在那段時間里，我了解到很多部署AppSec策略的不同方法。通常，安全團隊(CISO / CIO領導)部署適用于開發人員和工程師的AppSec策略。然而，隨著軟件開發和發布方式的迅速變化，幾年前部署的大多數安全策略已不再為開發社區所接受。當我們沒有快速，自動化的安全工具可以插入SDLC時，許多應用程序安全策略就建立起來了。現在，隨著團隊轉移到DevOps和CI / CD，現在比以往任何時候都更重要的是重新制定新的策略，這些策略與開發人員“快速獲得良好代碼”目標相一致，而不是違反。
基于多年來的工作經驗，我整理了一些在調整應用程序安全策略時需要考慮的事項，具體如下：

首先實施可實行的政策
如果首次引入安全性或首次執行安全性，那么首先要制定一些可實現的政策標準。不要讓一個從未做過安全措施的團隊嘗試滿足PCI或所有OWASP要求;因為他們肯定無法滿足，并在開始之前放棄。
從一個簡單的政策開始：沒有高或非常高的關鍵缺陷。隨著時間的推移，開發人員在日常工作中采用安全措施將會變得更加嚴格。
不僅僅包含不允許的缺陷類型
一定要包含靜態、動態、組合分析等類型的評估。此外，他們需要多長時間才能解決找到的問題?根據缺陷的臨界點增加寬限期，即需要在五天內確定非常嚴重的缺陷;中等嚴重缺陷需要在15天內修復;低臨界缺陷不需要固定期限。
另外，增加頻率和階段的要求。他們多長時間需要掃描一次，以及在哪個發展階段?這與所需的評估類型是一致的。如果要在DevOps中占有一席之地，安全性必須越來越多地向左移動。
正確把控你的政策
開發團隊的發布速度越來越快，在保證速度同時，還需要保證策略與開發人員在開發周期中使用的安全工具及解決方案保持一致。例如：不要求每次發布或在發布周期結束時進行測試。在發布過程之外，將此類要求更改為季度。在每日發布周期中包含像靜態一樣的自動化測試。另外，并非所有的應用程序都是平等的，所以你需要為不同的應用程序創建不同的需求。例如：具有IP的應用程序是面向公眾的，具有第三方組件可能需要修復所有中等到非常嚴重的缺陷，單頁臨時營銷網站可能只需要修復高/非常高的缺陷。
治理
擁有應用程序安全策略絕對是最佳做法，但如果沒有治理，它也是無用的。要保證跟蹤政策依從性(現在許多工具都內置了可以報告的策略管理器)是安全的。
此外，如果政策一直失敗，安全需要與發展合作，并進行團隊培訓，如：由講師指導的培訓，研討會，網絡研討會，電子教學，捕捉旗幟活動。
關鍵要點
•開發環境正在發生變化，確保您的安全策略與他們一起工作，而不是針對他們。
•安全策略需要成為“不判斷區”。使用它們來幫助教育開發團隊，了解他們正在努力的方向而不是批評他們的失敗。
•不要嚴格。首先制定策略，然后提升團隊成員構建安全代碼的negligence，并隨著時間的推移提供相應的培訓，從而讓他們的能力變得更強。