這個世界上有很多人有時不喜歡對方：葉和卡納迪恩的粉絲，哈特菲爾德和麥克柯伊斯，安全團隊和開發人員。

“我在很多商店都見過這種情況，”加拿大微軟公司(Micros of t Canada)駐渥太華的高級云開發人員坦尼婭？

她在本周在多倫多舉行的SECTOR會議上對Infosec專業人士說，這不一定是這樣。

她認為，最大的原因之一是，安全團隊成員可能對提交的代碼不夠安全的開發人員不友好/粗魯/切割。

Janca認為，解決公司創建不安全代碼的根本問題將通過兩種方式來解決：如果開發團隊和SEC團隊都得到流程、培訓和資源的支持，這樣他們就可以自信地完成工作；以及改變公司的文化。

網絡安全行業正在浪費機會，使計算更安全的時代，越來越多的...

隨著基于互聯網的平臺的更新，越來越多的組織每年都在向云端移動來托管和交付應用程序。

現在，Janca是一個紫色團隊的成員，是開放網絡應用程序安全項目(OWSAP)渥太華分會的負責人，也是渥太華網絡女士的聯合創始人，她自稱是應用程序安全傳道者。

但在她職業生涯的早期，她是一個軟件開發人員，她知道從安全團隊中感受到蔑視是什么感覺。 當一名安全小組成員第一次對她的代碼進行自動漏洞評估時，他在這里提交了一份“可能是用另一種語言寫的”的清單，并被告知，“你的應用程序是垃圾的，修復這些東西?！背吮桓嬷澳銘撝馈焙汀叭绻闶且粋€好的開發人員，在第一個地方就不應該有什么要修復的。

“我學會了不惜一切代價避開安全小組，”她回憶道。 (最后她意識到那家伙也不知道怎么看報告。

但這讓她想起了為什么人們不相處。 她發現，學術研究表明，大多數不良行為來自于一個感到不安全的人，然后以實物作出反應。 因此，開發人員忽略規則并滾動自己的密碼，或者沒有時間進行安全測試，安全團隊通過向NIST網站發送鏈接來回答問題。

“這不是我們最終使用不安全軟件的唯一原因，但這也是我認為的主要原因之一。

解決這個問題意味著改變兩個群體的文化。 她提出了五種方法：

1-不再指責；死后無可指責；

盡一切可能幫助挽回面子；

3-如果可能的話，安全小組和開發人員可以合用。 如果他們在不同的樓層/在建筑物的兩端/在不同的建筑物中，這是沒有幫助的；

4-不再舉行信息技術會議，主旨發言人抱怨安全狀況，說：“我們完蛋了?！蔽覀冎烙袉栴}，提供解決辦法；

做一個真正的領導者。 不要對人說負面的話，他們會被重復的。 相反，說“那不酷”，或者問是什么讓這個錯誤發生。 也許員工需要額外的培訓。

根據一個新的結果，表現最好的組織將已經實現其大部分業務的自動化。

一項新的調查表明，安全，而不是速度，正在成為2017年DevOps團隊的首要問題。

關于更深入的改革，她提出了以下建議：

改進程序

首先，創建應用程序安全團隊/人員。 他們知道如何在代碼中找到安全問題。

“如果你沒有一個專門從事安全的人——即使他們是開發團隊成員——這就是你沒有安全軟件的首要原因。

更早地啟動安全——就像項目開始時一樣，它將貫穿整個開發生命周期；

將安全活動分解成更小的部分，特別是如果您正在進行敏捷開發和快速工作。 因此，例如，做一個沖刺，只針對跨站點腳本問題。 下次沖刺尋找注射問題等.. “隨著開發人員改變他們做軟件的方式，我們需要進行調整。

培訓開發人員編寫安全代碼，包括理解威脅建模；

告訴開發人員，向安全團隊征求意見并不可恥；

-管理人員應為每個處理代碼的人提供安全培訓；

鼓勵開發人員加入開發人員教育團體，包括OWASP。 確保他們熟悉OWSAP前10個漏洞；

提供午餐和學習；

開發人員參加了Infosec團隊的安全事件。 “事故反應就像裂縫，”她堅持說。

首先，為開發人員必須遵循的代碼創建一個可以理解的安全標準。 (例如，每個網站都必須使用https，對所有軟件進行漏洞掃描，然后才能啟用)；

提供開發人員安全掃描工具。 有些是免費的，另一些則不花很多錢；

在一個名為DevSlops的項目中，每個星期天下午1點，東部Janca和一個小組的直播流，在混合器、Twitch和YouTube上播放帶有提示的廣播。

她結束了她的演講，讓infosec專業人士的聽眾舉起他們的右手發誓：“我保證讓開發人員能夠一起創建安全的軟件。”

總比罵別人好。