找到让开发者可以做其想做，可以掌控开发时间与速度的方法。

从企业承受的网络攻击，因为向云的迁移而出现的新网络威胁。云带来了很多业务上的好处：敏捷性、可扩展性、开支节省，但往往安全跟不上。如何达到云端敏捷安全，就成为了很多公司部署云环境时遇到的一大挑战。

Xero为会计师和小企业服务的云会计平台，过去1年中帮助开发人员安全发布了超过1,400个新产品功能和更新。下面是Xero的10条指南：

1. 改变开发和运维团队的思维

开发和运维团队常将安全视为生产力绊脚石。虽然云的出现已经将开发和运维弄得更紧密了，安全却往往是一个例外般的存在。要从一开始，就引入能展现安全可跟上开发速度的新视角。

2. 向安全团队引入开发安全运维(DevSecOps)方法

为推进项目，持续迭代和部署新产品及解决方案，Xero征召了自己的安全团队，称之为“安全即服务”，让他们可以在Xero内部以供应商的方式运转。其快速响应团队也全天候工作，产品安全团队则与公司其他部门并轨运行。

3. 标准化核心安全原则

想要既保持敏捷和安全，又创建“时刻在线”的文化，Xero严格执行3个核心安全原则：API驱动的安全、快速安全和按需安全。该3原则可映射回开发安全运营。

4. 采纳“API驱动的安全”

Xero摆脱了人工登录到控制台管理安全系统的传统方式。通过去除过程中的人类因素，该公司建立了持续集成方法，实现了交付一致性。例如，一旦某条安全策略需要调整，Xero能立即做出该调整，消除系统中的不一致或非必要的中断。

5. 创建安全快速响应团队

Xero也意识到，快速响应时间是科技公司竞争优势不可或缺的东西。为推进“快速安全”，Xero的安全团队实现了持续衡量、测试和监视以进行快速迭代。

6. 利用云

为实现“按需安全”，Xero部署了云技术，确保其安全态势是动态的，并与其他主流企业安全厂商紧密合作，打造适合按需安全系统的可扩展商业和技术模型，让Xero的安全团队可以根据需要扩充或削减基础设施。

7. 部署代码驱动的安全基础设施

安全不应该一次次从头来过。Xero代码驱动安全基础设施，让安全系统建立和管理过程得以自动化，并具备可重复性。

8. 重视可见性和管理

Xero只想为自己真正用到的资源付款，而不是浪费钱财在高峰云使用上。与AWS及其他厂商的合作，让Xero得以在基础设施上采纳敏捷响应方法，并建立动态商业和支持模型。端到端可见性也让Xero可以用细粒度的方法管理其开源工具配置，助力安全团队跟踪云服务器的部署、使用和管理。

9. 采用弹性和自动化

作为深度防御策略的核心租户，Xero在主机级别进行监视、检测和防御。该策略是Xero敏捷安全方法的核心，贯穿部署和运营过程。

10. 决策者的安全支持

有了主要决策者的认同和支持才能达到目的。为巩固其敏捷安全支持，Xero的决策者从头到尾勠力支持。Xero知道安全和速度并不是互相排斥的；如果安全团队不敏捷，可能会束缚到公司的脚步。一旦工作受到顶层的支持，Xero便成就了持续且安全的敏捷安全创新。