如何构建安全守护者计划以分配安全责任

关键要点

在本篇文章中，您将了解到如何建立自己的安全守护者计划，这是一种用于在组织内部分配安全责任的机制。您将学习到以下内容：

设置计划的愿景、使命和目标确定可以试点新计划的开发团队定义团队的预期行为开发培训并创造职业发展机会，以保持团队的参与度

欢迎阅读我们关于安全守护者的系列文章的第二篇。在此之前的文章中，您了解到了以安全守护者计划为基础的安全责任文化建设的重要性，以及 AWS 如何实现这一目标。许多客户已经询问如何建立类似的计划。

在本篇文章中，您将学习如何为组织构建自己的安全守护者计划。

安全守护者计划机制

正如之前文章中提到的，机制构成了 AWS 业务的关键部分。机制是一整套流程，或称为 良性循环，在运行时不断自我强化和改善。在 AWS，我们的业务挑战之一是安全发现常常在开发生命周期的后期被识别，这使得修复问题的成本在时间、金钱和精力方面都显著增加。

以下是 AWS 的机制循环示意图：

推动机制的采纳往往很困难，尤其当该机制需要人们参与才能成功实施时。在安全守护者计划中，我们也面临同样的挑战。可以借鉴 AWS 的经验，以避免一些推动采纳时的挑战与成长烦恼。

使所有人对齐

“如果我有一个小时来解决一个问题，而我的生命取决于这个解决方案，我会花前55分钟确定正确的问题，因为一旦我知道了正确的问题，我可以在不到五分钟的时间里解决这个问题。” 阿尔伯特爱因斯坦

获取对分配安全专业知识的必要性的共识，首先需要深入理解需要解决的问题。例如：

产品交付速度是否因安全审查过程中的延迟而受到负面影响？这些延迟影响了哪个业务目标或指标？在安全审查过程中，这些延迟发生在哪里？哪些因素导致这些延迟？是缺乏时间、人手还是技能？

深入理解问题的具体情况及其根本原因，有助于评估分配安全责任是否是合适的解决方案，从而更容易在整个组织中获得对所选方法的支持与认同。

安全文化的组成部分

建立强大的 安全文化 需要高层领导的支持，以为整个组织设定方向。高层支持使产品负责人更容易获得成功实施安全守护者计划所需的资源和资金。为与组织领导者保持一致，您可以反思其目标，以及安全守护者计划如何满足这些目标。

例如，如果您的业务目标是加快产品发布速度 25，需要理解安全守护者的某项资源安排将如何帮助实现这一目标。

根据我们的经验，没有高层的支持，建立安全守护者计划会面临挑战。如果您在找不到业务领导者赞助该计划或提供业务问题见解方面遇到困难，您的 AWS 账户团队包括账户经理或解决方案架构师可以提供帮助。

逐步推进

实施安全守护者计划的逐步方法有助于克服组织挑战，避免导致失败的常见问题。步骤如下所示：

确定愿景选择创新者定义行为维护兴趣衡量成功

这些步骤支持机制的成功活动：采纳、检查和工具。

确定愿景

确定了业务问题或目标后，请通过以此问题或目标为逆向工作来设定安全守护者计划的愿景。例如，AWS 安全守护者的愿景是“培养安全责任，确保我们的客户在整个开发生命周期内享受设计安全的体验”。

为安全守护者计划制定一个雄心勃勃的愿景。考虑远远超越简单的胜利，专注于为组织带来前瞻性的安全成果。确保愿景的每一部分都与业务问题或目标相对齐。

下面的表格是该计划愿景与业务目标的一种对齐示例：

业务目标安全成果长期目标更快更有效地开发产品。提高开发人员的灵活性，同时降低安全风险。增加安全守护者执行的威胁模型数量而非应用安全工程师。随着时间的推移，这一目标可更改为“提高威胁模型的质量”。减少每月安全问题的平均数量。每季度培训三名新的安全守护者。降低长期安全支出。尽早识别并缓解安全风险。提高客户信任度。通过提高安全标准来超越客户的安全预期。

接下来的步骤是定义明确的使命，并辅以可衡量的目标。使命和目标必须是可实现的，并有助于推动长期愿景的实现。

最后一步是为您的计划命名。我们选择了“安全守护者”，如同《银河护卫队》。我们也听说其他客户使用“安全冠军”、“安全倡导者”、“安全创新者”和“安全驱动者”。请确保名称与尽可能多的参与者产生共鸣。

在您定义了愿景、未来状态、使命、可衡量的目标和计划名称之后，请与您的安全和业务领导者进行审查。在审查过程中，包含将作为早期采用者的创新者或安全守护者会收到额外的好处。

选择创新者

和您为所构建产品的早期采用者进行开发和迭代一样，您也应该识别愿意与您一同试运行该计划的个人和团队。在 AWS 提出安全守护者计划之前，我们的应用安全工程团队通过安全评审与产品团队建立了联系。

这意味着他们已经知道了哪些产品团队的个人对安全感兴趣。这是 AWS 的起点，但您计划的成功并不依赖于您是否已知道这些个人。开发团队将自我识别并从自己的团队中提名安全守护者。

对上述图示中的示例团队分类如下：

候选 A：快速胜利团队

早期采用者通常具备一些关键特性，包括现有的安全措施和指定的安全角色或安全技能的团队成员。换句话说，他们在团队层面已经将安全视为优先事项。

候选 B：高影响团队

这个团队最受产品开发团队与安全团队之间差异的影响；安全守护者计划带来的灵活性和时间相关的好处将对该团队产生最高影响。

候选 C：高风险团队

这个团队负责具有高安全风险的产品。由于产品的性质，该团队将从额外的安全审查和提升组织的安全标准中受益。

识别出一个或多个适合早期采用者的团队后，您还需要为每个团队确定至少一名个人作为安全守护者。在选择安全守护者时，请考虑您计划的愿景和目标。您的早期安全守护者应该至少具备以下特性：

能够行使良好的判断能力维护和展示其知识不害怕让自己的工作经过独立验证在内部讨论中倡导自己的安全需求保持高标准的安全意识认真对待并确保客户的安全是团队的首要任务

根据我们的经验，安全守护者每月平均花费 35 小时用于解答常见安全问题、识别安全需求、深入安全任务以及支持安全相关工作。每次应用安全评审则大约需要 4 小时的工作量。

定义行为

重要的是设定期望，定义您希望安全守护者、开发人员和安全团队在程序中的表现。这些行为通常与程序的目标直接相关。例如，如果目标之一是增加创建的威胁模型数量，那么“创建威胁模型”将是一个定义的行为。定义的行为需要是可衡量的，并且随着程序的改进可以有所变化。

在 AWS，我们的安全守护者可以访问一个行动手册，列出了每个守护者在参与审查时应执行的活动。了解这些活动后，程序团队将确保提供适当的培训，以使安全守护者能够完成每一项活动。例如，AWS 会要求安全守护者协助开发威胁模型。为了支持这一点，程序团队开发并发布了培训材料，以教导安全守护者如何创建威胁模型。

通过定义行为，了解安全守护者与产品开发团队将如何与安全团队进行互动。虽然我们明确地定义了行为，但这些行为并不通常是在孤立的情况下进行，以确保推出安全的产品。在 AWS，安全守护者和产品开发人员在关键合作领域与安全团队进行互动。如果您不确定从何开始定义程序的行为，可以参考以下图示，展示了 AWS 团队在初始威胁模型创建、审查、修复和测试过程中的互动示例。

在威胁模型审查的例子中，守护者与中央安全团队将共同创建和审查威胁模型。具体活动示例包括审查没有文档化的减轻措施的威胁，以及讨论尚未考虑的额外威胁。

在推动拥有感的文化方面，AWS 建议让安全守护者在一定范围内影响他们的角色。例如，允许安全守护者参与程序增长指标的定期审查，积极收集他们的反馈，并鼓励他们举办自己的培训。

维护兴趣

重要的是不要忽视像 AWS 安全守护者计划这样的程序是由志愿者支持的。大多数安全守护者都是全职产品开发人员。为找到并引入新的安全守护者的时间和精力投资，如果他们因为程序负责人未能保持参与而停止参与，那么这样的回报将很低。保持安全守护者的积极性，和找到他们一样重要。

在 AWS，我们会花时间了解如何与安全守护者建立信任，并通过从他们的需求和需求逆向工作来提供价值。有些安全守护者加入该计划是为了学习新技能和职业发展机会。AWS 建立了为安全守护者设计的培训计划，并提供可用于向他们的经理和领导记录其影响的指标。

AWS 的安全守护者表示，他们非常重视领导层对他们贡献的认可。我们努力建立机制，持续展示安全守护者的出色工作。我们还通过奖项、礼物和其他激励措施来认可安全守护者的贡献。例如，每季度，AWS 安全守护者团队会向该组织的高级领导层发送时事通讯。这一沟通材料列出了组织内的守护者，并强调了他们的贡献，包括他们所完成的审核数量和效益。

AWS 对安全守护者贡献的另一种认可方式是 守护者腰带计划。守护者腰带计划旨在表彰安全守护者的贡献，并帮助他们提升安全技能和扩大影响范围。安全守护者根据不可或缺的成就获得黑带、绿带、黄带和白带，每个腰带对应需要不断承诺提高安全标准的成就。

为了确保安全守护者重视该计划，您的组织应提供并积极推进可享受的利益。这些利益必须能够在不需要安全守护者额外时间和精力的情况下获得，促进直接的收益。

考虑以下利益示例，以维护安全守护者的兴趣与支持：

专业培训：工作坊、游戏日、挑战与竞赛。影响机会：通过与组织内的其他团队合作影响多个产品、帮助界定模式、最佳实践和自动化流程。社区：合作、联系、共享与学习，和专家及有类似兴趣的人一起。拥有机会：能够加快流程中的某些步骤。领导机会：主动参与定期的程序或业务审查。

维护兴趣的最佳方式由贵组织文化决定。贵组织最看重什么，程序将如何为您的安全守护者提供这一点？有时，最好的方法就是询问您早期的或潜在的安全守护者。

衡量成功

建立成功的安全守护者计划的最后一步是衡量程序的成功。这一过程等同于检查步骤，这验证了所希望的结果是否达成，并为迭代提供了起点。衡量成功也使您有机会审计安全守护者计划的输出或结果，并进行修正和改进。

我们在之前的文章中提到了确定业务问题并创建安全守护者计划的愿景和可衡量目标。示例指标包括：

发布功能的平均时间每个团队的平均安全问题数量安全守护者和构建者在安全工作上花费的平均时间完成必修和非必修培训的安全守护者所占的百分比

衡量成功包括收集反馈并随着时间的推移调优程序的步骤，如下图所示。

收集安全守护者的反馈与向他们提供反馈同样重要。AWS 收集安全守护者反馈的一种方式是通过年度调查，了解他们对程序和工具的体验。为了帮助构建者和安全守护者随着时间的推移不断改进，安全审查工具会捕捉安全工程师对安全守护者输入的信息的反馈。通过这些调查收集的数据有助于我们的安全责任机制随着时间的推移得到强化和改善。

下面的图表总结了您可以采取的步骤以发展您的程序。

蘑菇加速器在线下载

大致发展程序的步骤包括：

设置愿景：设定程序的愿景及成功指标。获得领导的赞助。为您的程序选择一个名称。选择创新者：识别对安全有热情的创新者，并培养持续的知识分享社区。定义行为：重新定义您的 RACI负责、问责、咨询、告知并明确安全倡导者的预期。维护兴趣：提供明确的培训和学习路径以及职业发展机会。衡量成功：收集反馈并评估程序的有效性。

结尾

本文以及 前一篇文章 涵盖了许多概念、考虑因素和想法，包括：

安全守护者计划的初衷是专注于培训开发人员，以改善早期安全相关的设计思维。另一种方法是在产品开发团队中直接嵌入或对齐安全工程师。这在报告结构和问责制是关键考量的组织中可能更为有效。一些组织从所有职位类型中挑选安全守护者，该计划也可以集中于提升开发人员和扩展安全文化。您必须定期检查安全守护者计划所传递的成果，并利用这些信息在计划发展时进行逐步改进。

如需获取更多帮助以建立安全守护者计划，请联系您的 AWS 账户代表，他们将帮助您与专业人士建立联系，以帮助您发展该计划。

如果您对这篇文章有反馈，请在下方的 评论 部分提交。如果您对本文有疑问，请 联系 AWS 支持。

Mitch BeaumontMitch 是亚马逊网络服务在澳大利亚悉尼的首席解决方案架构师。他与澳大利亚一些最大的金融服务客户合作，帮助他们不断提升自己所构建和交付的产品和功能的安全标准。在工作之余，Mitch 喜欢和家人共度时光，摄影和冲浪。

![Ana Malhotra](https//d2908q01vomqb2cloudfrontnet/22d200f8670dbdb