一、某“爆款”视频会议软件的市场滑铁卢
2020年初,一场突如其来的疫情,使得某知名视频会议系统日活用户从1000万飙升至2亿,资本市场对其一度看好。可好景不长,由于系统被曝出严重的隐私和安全问题,股价随之受挫,商业信誉严重受损,还被诸多政府机构、高科技公司禁用。
该视频会议软件的安全事件归根结底是开发安全没做到位,相信其安全团队和开发部门肯定因此经历了很多个不眠之夜。
其实早在2004年,微软就提出了SDL,强调安全要在早期开发过程介入,从根本上管控应用安全。在2020年的RSA大会上,专注于将安全集成到DevOps流程中的DevSecOps,更是大放异彩。本文将从安全部门角度出发,针对安全开发落地过程中容易被忽略的赋能与运营问题,希望可以给大家提供一些思路。
二、安全部门的难处
安全部门处境尴尬,受制于业务上线的需求,安全往往需要为业务让路,在实际执行过程中处于弱势,出问题时安全部门又需要救火和背锅。但从上文视频会议软件的案例中,我们也可以看到,安全对业务的重要性。无论是对业务的贡献,还是合规要求,甚至是更实际的——安全人员自身的绩效,都应该开展安全开发体系建设的工作。
关于安全开发体系建设的常见难点,首先我们来看两个案例:
一般来说,常见的安全开发落地难点包括:
三、安全赋能,合作共赢
无论是人力紧缺的小型安全团队,还是人力充足的成熟安全团队,要解决上面讲到的这些难处,最有效的方法莫过于赋能。但赋能也要讲究方式方法,不然可能适得其反。
1. 合理的体系
合理高效的管理体系是确保开发安全管控的前提,安全开发管理体系需要定义安全介入的时机和每个角色需要执行的安全动作(安全工作和输出物),确保安全开发管控流程执行到位。但是这就对以前的流程产生了侵入,在设计体系时,应尽量避免产生新的制度和流程,采用对现有制度和流程修订优化的方式,降低执行的门槛。
2. 常态化培训
对于缺乏安全经验的产品、开发等人员,应提供必要的安全培训(体系、意识、技能)的支持,以帮助相关人员提升安全能力,完成相关安全工作。对不同人员需要提供的培训内容也不太一样,下表是培训内容的一些参考:
3. 合作的态度
安全开发体系的制定和落地推广离不开产品、开发、测试等部门和人员的认可、参与,安全团队不能让大家认为安全部门是在加码任务,设置卡点,要以合作的姿态开展工作,前期应以提供帮助解决安全问题为重。
举个例子:
某传统行业的科技子公司,在推行安全开发体系之前,先对开发部门进行调研,主要方向是收集开发部门日常工作中遇到的安全问题,了解开发部门非常头疼逻辑越权、SQL注入和隐私数据安全的问题。安全部门将这些问题作为安全开发体系落地过程中的专题,提供编码安全规范和代码示例指引开发人员提升代码质量,从源头上避免这些问题。编码提交后,通过IAST测试平台(交互式动态测试),帮助开发人员查漏补缺。并且IAST发现的漏洞详情非常详尽:漏洞对应的代码位置、执行过程展示、修复方法和示例代码,甚至提供可以直接引用的安全组件,尽一切可能帮助开发复现和修复漏洞。
注:应用安全测试目前在市场上有众多的解决方案,其中最老牌、应用最为广泛的是SAST(静态)和DAST(动态)测试工具,通过在源代码(SAST)或公开对外接口(DAST)上运行安全扫描,可以在应用上线之前识别并纠正许多漏洞。
然而随着DevSecOps被广泛接纳,Gartner在2017年的研究报告中明确提倡用 Interactive Application Security Testing(IAST)交互式应用安全测试替换SAST和DAST。
在后续的安全开发体系落地过程中,开发部门非常配合。在20多个试点项目中,发现并修复了近千个逻辑越权漏洞和数百个SQL注入漏洞,隐私数据的安全情况也得到大大改善。
4. 高效的安全工具
正如前面讲到的例子,IAST可以帮助开发人员排查修复漏洞,其根本意义在于安全工具可以给安全能力相对较弱的人员提供安全赋能。选择使用门槛低且检测效率高的安全工具,可以在很短的时间内落实相关环节的安全工作。另一方面,在使用优良的安全工具过程中,相关人员对安全知识的掌握和认知也会得到极大的提升。
5. 知识库支持
知识库主要是用于提升人员的安全能力和效率,例如,一般的产品经理并不具备威胁建模的能力,需要提供威胁建模知识库,知识库会给出具体业务场景下的安全威胁和对应的安全要求,帮助产品经理快速准确的完成威胁建模的工作。优秀的知识库都需要长期积累,平时需要由安全部门维护更新,沉淀项目中积累的问题,持续提升赋能效果。
四、安全运营,解决执行力问题
赋能可以解决能力和效率的问题,但是不能解决执行力的问题,需要配合安全运营来监督和改善体系的运转效果。根据实际情况,需要综合考虑选择合适的运营方式,这里提供一些运营维度作为参考。
单个项目运营卡点:
全局安全运营:
个人绩效考核:
这里要强调一点,设立个人绩效指标不仅仅是为了考核相关人员安全工作的完成度,同时也是个人绩效的体现,要在项目复盘和年度考评中考虑增加这方面的权重。增加人员积极性的同时,也为公司留住安全开发领域的宝贵人才。
五、关键突破点,高层支持
除了上述要点,安全开发体系要想很好的推进,最重要是要获得IT高层领导的认可,这样才能获取足够的行政资源,推动以下事项:
如果开始不能获取高层的最大支持,建议先从容易落地且有能看到成果的环节开始建设,例如IAST测试,用事实成果争取高层的支持。
六、写在最后
安全开发体系的建设,通过赋能和运营的结合,并在高层支持下,帮助安全部门在人力不足、项目快速扩张等诸多不利的环境下,建设起安全开发的管理体系,帮助安全部门改变被动现状,获得应有的地位,发挥应有的作用,避免因为安全问题造成企业核心业务马失前蹄。
安全牛评
2020年新冠疫情给互联网行业提供了一个展示信息技术肌肉的机会,但遗憾的是行业领导者们在产品安全问题上纷纷“扑街”,从智能硬件、视频会议、社交通讯到网盘业务,一系列重大安全违规事件不绝于耳,不但严重威胁用户的隐私与数据安全,同时也给企业的品牌、业务和市值带来巨大伤害。
从网络安全经济学的角度来看,产品安全问题并非“产品”问题,冰山以下是一个全局问题——如何安全地敏捷化和数字化,如何打通应用安全、数据安全/隐私保护的经络,把Sec塞进DevOps不会比把大象塞进冰箱更轻松,打造全局化和敏捷化的安全能力,绝不是企业安全团队能独自完成的,这应该是企业所有人,尤其是CEO的责任。
戳这里,看该作者更多好文
如何减轻分娩疼痛?
每一位妇女对疼痛的承受度各有不同,在分娩开始时,和产科医生商讨采用何种止痛的方法。 目前实施的无痛分娩如(硬膜外镇痛和腰麻)在一些大城市正规大医院开展。 除此之外,产前松弛运动训练,产时深呼吸技巧,产时按摩这些在国外很流行的方法,都有助于减轻分娩疼痛,减少镇痛药或麻醉药的使用。 冷或热敷子宫收缩时用冷水或热水敷在背部或腰部,具有镇定作用,可缓解紧张情绪,还可以减轻背部疼痛或痉挛。 活动在子宫收缩间隙,活动能促进血液循环,有助于减轻背部疼痛,同时也分散对疼痛的注意力。 试试各种姿势,用垫子或椅子做支撑,直到找到一种最适合的姿势。 按摩请丈夫或陪伴者按摩可以缓解肩部、颈部、面部和背部的紧张,还能放松,促进血液循环,从而减轻分娩的疼痛所带来的紧张感。
什么是无痛分娩?
通常所说的无痛分娩,在医学上其实叫做分娩镇痛,是使用各种方法使分娩时的疼痛减轻甚至消失。 分娩镇痛可以让准妈妈们不再经历疼痛的折磨,减少分娩时的恐惧和产后的疲倦,让她们在时间最长的第一产程得到休息,当宫口开全时,因积攒了体力而有足够力量完成分娩。
目前通常使用的分娩镇痛方法有两种:一种方法是药物性的,是应用麻醉药或镇痛药来达到镇痛效果,这种就是我们现在所说的无痛分娩。 另一种方法是非药物性的,是通过产前训练、指导子宫收缩时的呼吸等来减轻产痛;分娩时按摩疼痛部位或利用中医针灸等方法,也能在不同程度上缓解分娩时的疼痛,这也属于非药物性分娩阵痛。
自然分娩对一个身体健康、足月妊娠、产检正常的育龄和适龄妇女来说,应看成是瓜熟蒂落、水到渠成,最自然不过的事情,这是人类繁衍后代的一个正常生理过程。 一个母亲应相信自己和胎儿具备天生的能力来完成这一神圣的使命。 剖宫产只是一种万不得已的分娩替代方式,对母子都是不利的。
剖宫产手术通常是由于患者有产科的病理情况而采取的补救措施,是人为的非自然状态的分娩方式。 对于产妇,它增加了肠粘连、附件炎症、伤口感染、子宫内膜异位症发生的机会;对于新生儿,由于缺乏阴道壁的挤压及缺少对外界环境的逐渐适应能力,羊水的排除不彻底,对新生儿的呼吸功能不利。
1、采用无痛分娩后还需要用力生产
回答是肯定的。 现在所用的镇痛药是一种“感觉与运动分离”的神经阻滞药,它选择性地阻断产妇痛觉的传导,而运动神经不受影响。 分娩期间,产妇完全活动自如,腹肌收缩和子宫收缩均保持正常。 相反,产妇疼痛缓解后,精神完全放松,全身不再翻滚扭动,有利于产妇在医师的指导下用力,宫口开放也就更加容易,因而加速了产程的进展。
2、进行椎管穿刺置管时会有轻微不适
穿刺置管是在局部麻醉下进行,产妇仅感觉轻微不适而已,与子宫收缩时的产痛根本没有可比性。
3、无痛分娩中分娩方式有可能改成剖宫产
自然分娩是否改成剖宫产,与是否进行无痛分娩没有必然的联系,它取决于胎儿头盆是否相称、是否存在异常胎位、脐带绕颈和胎儿宫内窘迫等产科因素,有些因素只能在分娩过程中逐渐显现出来,在分娩镇痛过程中如需进行剖宫产,产妇可及时进入手术室实施手术,如果分娩镇痛效果确切,通过置管处给药可以免去了再次椎管穿刺的过程,节省了手术前的准备时间。
无痛分娩是怎么回事?
无痛生产只是生产时不痛,我当时应该就是做的这个笑气镇痛笑气即氧化亚氮,是一种吸入性麻醉剂,当宫口开到2~3指时,分娩的妈妈开始自控吸入笑气,不需要特殊设备,也不需要麻醉医生的帮助。 这种气体有甜味,对呼吸道无刺激,不抑制胎宝宝呼吸和循环功能,不增加产后出血量,镇痛效果比较好,也不影响分娩过程,又能使分娩的妈妈保持清醒状态,可以很好地配合医生,还能缩短产程。 但是,生孩子的痛苦,是从第一次阵痛,就开始的,生产之前开骨缝的痛苦,只有自己承受。 生产时,医生让我吸了这种麻醉剂,效果还是不错的,整个生产过程,我只需用力,并没感觉痛。
发表评论