作者:鉴释首席运营官 赵科林 (Colin Giles)
为了确保每天编写数千行代码的高质量和安全性,开发人员面临着越来越大的压力。此外还要确保开发团队能够高效率、高成本效益地工作,并保持创新与创意的自由。对此最普遍的解决方案是在软件开发生命周期 (SDLC) 过程结束时进行验证测试,这样可以把漏洞数量减至最低,但这样会导致更多、更复杂的工作以及更高的成本。在中国,开发人员已经日渐成熟,并通过使用灵活敏捷的创新方法取得了成功。这促使了为适应中国市场时间表而实现的灵活创建的产品快速发展。通常,这样的情况下公司往往没有建立适当的流程、文档和管理。然而伴随中国公司的发展及海外市场的扩展,他们必须审查现有的工作方式,并建立一个更加以流程为本的结构。
最好和最有效的方法是在组织中创建 “质量第一” 的思维模式,这与安全设计方针相结合,可确保质量和安全性能够嵌入到所有工作方式中。重要的是,所有员工都意识到对质量和流程采取零容忍态度的重要性,并在 SDLC 早期建立监督,以便早期识别和修复漏洞。安全第一的态度可以实现更健全的框架,以实现更好的监督,开发更好质量的代码,并在 SDLC 早期建立流程,以便能够及早发现漏洞,把对效率、生产力和创造力的影响降到更小。这种思维模式加上明确的流程和适当的管理,将使中国开发人员能够与海外合作伙伴清晰地沟通,并采取适当的措施确保高质量和安全的产品。
如何实施质量第一为本的简单准则?
1. 建立组织意识,以确保所有团队成员在质量和安全流程的执行中可以对代码进行适当的质量审查和改善尽责。这可以通过对整个团队的定期培训,适当的流程文档以及管理层的定期审核来实施。
2. 确保通过定期扫描(人工或自动)将漏洞测试内置到公司的代码开发过程中。扫描最好经常进行,并在代码提交到存储库时自动完成。定期的团队代码审查也可以协助扫描。代码使用静态分析器进行扫描,由团队负责人进行人工审核,最后漏洞分配给团队成员进行正规的跟踪和验证。这些审核还有助于提高对彻底审查代码需求的认识,并与您的团队成员分享有关漏洞类型的信息。
3. 定期对外部质量和代码的安全性进行验证。这可以通过使用独立审计代码的黑盒或白盒测试方法来完成。第三方可以进行客观监督,以确保内部工作正常运作。
4. 通过聘请安全专家加入您的组织,加强质量、安全和隐私方面的专业性,并通过质量保证对所有流程进行适当的质量保证监督。此外,通过建立合规委员会来确保适当的监督和管理,为 CEO、管理团队和董事会提供合适的可见度。
5. 不要忽视将第三方或合作伙伴代码集成到您自己的代码中的风险。在将任何第三方应用程序集成到代码中之前,通过静态分析、审查和充分认证确保适当的风险评估。这包括对第三方审核、漏洞测试、弃用和所有认证的执行和文件编制。
根据我作为流程和运营经理的经验,把适当的管理、流程和系统落实到位对确保质量和安全性来说非常重要。确保没有人采取速效解决的态度或方法。要做到正确,需要有正确的思维方式,从最顶层开始,渗透到组织的所有部分。质量第一的思维方式能确保每个人共同努力,保证质量并维护产品品牌和公司的声誉。
相关阅读
