主要观点：安全与开发效率可能冲突，关注减少漏洞影响比预防更有效，Dorota Parad 主张在合规方面保持灵活性并与安全团队合作定义实际保护措施，通过限制爆炸半径和使用自动化可在生产力损失最小的情况下提升安全。
关键信息：

• Dorota Parad 在[QCon 旧金山]提出[如何在不牺牲生产力的情况下构建安全软件]。
• 安全常与快速高效的开发过程相悖，应注重减少漏洞影响而非预防。
• 应理解安全指令来源，以说服第三方利益相关者公司在减少安全风险方面做得足够好。
• 可通过与安全团队对话，记录风险思考等方式摆脱烦人的指令。
• 以恶意行为者获取工程师云账户凭证为例，利用现代软件开发实践限制访问范围等可减少漏洞影响。
• 可利用 BLISS 框架在不阻碍工程师的情况下最小化安全风险，CI/CD 管道可视为安全工具，能通过严格保护级别减少恶意代码进入生产环境的风险，且要保持 CI/CD 管道健康健壮以增加安全。
  重要细节：
• 安全认证和法规无规定性，公司需定义范围等。
• 示例中若账户有数据库访问权限且加密，数据对攻击者无用。
• 推动安全指令的替代方式是利用 BLISS 框架。
• CI/CD 管道的典型流程及各阶段的保护措施。
• 保持 CI/CD 管道健康健壮的重要性。