主要观点

Laura Bell Main 和 Nikki Robinson 在最近的演讲中强调了开发团队与安全团队之间协作的重要性，并指出了当前 DevSecOps 实践中存在的挑战。他们主张通过改善开发者体验、减少开发者的认知负担以及加强团队沟通来提升安全性和工程效率。

关键信息

Laura Bell Main 的观点

1. DevSecOps 的现状与挑战：

   • Bell 指出，尽管 DevSecOps 的目标是将开发、安全和运维整合为具有“共同使命感”的全栈团队，但实际上 DevSecOps 能力往往被隔离到专门的团队或 SRE 团队中，脱离了实际交付团队。
   • 这种隔离源于文化和操作上的挑战，例如安全举措过于依赖 CI/CD 工具，而非开发团队本身。

2. 开发者体验的重要性：

   • Bell 强调，安全团队应更好地理解开发者在使用安全工具和流程时的体验，并通过改善沟通和减少开发者的认知负担来鼓励有效的安全所有权。
   • 她建议通过早期展示安全举措、改进工具以减少重复劳动、控制误报以及减少审批瓶颈等策略来提升开发者的生产力。

3. 安全与开发团队的协作：

   • Bell 提到，大多数公司的应用安全人员与开发人员的比例约为 1:50 到 1:100，这可能导致安全瓶颈。
   • 她呼吁安全专家减少对工程团队的额外摩擦，并通过改进现有流程来加速开发过程。

Nikki Robinson 的观点

1. 平台安全工程：

   • Robinson 提出了“平台安全工程”的概念，强调通过将工程团队视为客户来支持开发者保护复杂系统。
   • 她认为，平台工程的成功依赖于团队之间的沟通和协作，理解开发者体验是至关重要的。

2. 关系建设与沟通：

   • Robinson 鼓励平台安全工程团队投资于关系建设和沟通，理解安全实践中的摩擦和挑战，以便更好地优化支持个人和团队环境的工具和流程。
   • 她认为，人员方面、关系建设和无意识偏见与技术基础设施的建设同等重要。

重要细节

1. SafeStack 调查：

   • SafeStack 的调查显示，大多数公司的应用安全人员与开发人员的比例约为 1:50 到 1:100，这凸显了安全瓶颈的风险。

2. 开发者负担与工具使用：

   • Bell 指出，开发者的负担越来越重，资源却越来越少。她认为，解决方案不是购买更多工具，而是审视现有流程，减少开发者的重复劳动和摩擦。

3. 遗留系统的安全：

   • Bell 强调，遗留系统和基础系统仍然是互联网的核心，开发团队担心这些旧系统，但往往只能获得处理新系统的时间和资源。她呼吁安全领导者确保开发团队有时间和支持来维护所有软件，而不仅仅是新系统。

总结

Laura Bell Main 和 Nikki Robinson 都强调，通过改善开发者体验、减少开发者的认知负担以及加强团队沟通，可以有效提升安全性和工程效率。他们呼吁安全团队与开发团队紧密协作，理解并优化开发者在使用安全工具和流程时的体验，从而推动有意义的文化变革和全面的软件基础设施安全。