安全責任通常由最終用戶承擔，而人們較少關注負責構建產品的開發人員。

為了成功地將安全性推廣到開發人員，安全性必須易于部署。這是關于如何使安全成為最簡單的選擇，使構建安全的應用程序必須比構建不安全的應用程序更容易。

正如思科公司的Wendy Nather在2020年RSA主題演講中所說：“安全應該被設計為被部署，而不僅僅是被設計來強制執行。”

隨著越來越多人采用現代開發做法，開發人員被鼓勵負責其產品的發布管理生命周期。然而，應用程序開發的快速步伐使得安全團隊難以跟上其步伐，而且安全團隊通常缺乏資源。安全團隊很難及時為開發人員提供可訪問、適用和可操作的指導。最后，開發人員沒有獲得必要的安全指導，這意味著部署的應用程序通常存在安全漏洞。

然而，加劇這些挑戰的相同開發實踐也有助于推進技術來解決這些問題。

基礎設施即代碼 (IaC) 就是這樣一種技術。現代開發實踐使用IaC將應用程序架構定義為代碼，并自動部署這些架構。通過使用IaC，只需更新代碼，應用程序架構就會變得更加安全和合規。IaC有助于為開發人員提供可訪問的、適用的和可操作的指南，指導他們的應用程序架構應如何設計，以實現安全性。

安全民主化需要什么?

安全團隊很少參與開發過程的早期階段。當他們參與時，他們會遵循基于紙張的工作流程-在Word文檔或Excel工作表上。現代安全做法應該在現代開發工作流程中采用自動化。這將使安全團隊能夠查看整個應用程序組合，盡早參與，并在通過IaC進行更改時為開發人員提供指導。

為了讓開發人員擁抱安全，應側重于確保安全指南適用于正在開發的產品或功能。開發人員通常會忽略或拒絕通用指南，因此指南必須清晰且具有相關性。

另外，開發人員和安全工程師并不是說同一種語言。對于開發人員來說，安全術語通常很復雜或無法訪問。因此，同樣重要的是，以易于開發人員理解的簡單術語提供重要的指導。

安全培訓是安全民主化的另一個關鍵組成部分。良好的安全培訓有助于開發人員了解安全概念，而他們無需成為安全專家。該策略還可以幫助開發人員更好地理解來自安全同行的指導。

開發團隊和安全團隊之間也應該存在強大的反饋循環。由于提供安全指導，反饋應推動持續改進。

我們如何自動化安全功能?

為了使安全成為阻力最小的途徑，我們需要制定安全要求，關于“什么”可訪問和適用，同時我們還需要幫助開發人員解決“如何”的問題。IaC構建與如何使用代碼相關的指南。如果你可以自動化操作，那么安全性就會變得很簡單，方便開發人員部署。

當最佳實踐通過代碼自動化時，開發人員無需成為安全專家。相反，開發人員只需要了解他們的業務用例以及他們圍繞安全性和合規性的目標。了解他們的應用程序的需求(他們的消費者是誰，應用程序需要遵守哪些法規或標準等等)已經是他們工作的一部分。使用這種方法，可消除很多通常阻礙民主化的摩擦和文化問題。

在代碼中自動化最佳實踐有助于改進安全開發過程。我們正在接近一個臨界點，民主化的安全不僅是可能的，而且會加強開發人員和安全團隊之間的關系。