安全设计
将安全融入开发的每个阶段
如果您今天从零开始建立自己的业务,您不会在最后才考虑安全性。您会从一开始就将其融入其中。挑战在于,大多数企业组织并非从零开始。
这些企业已经在运行中:通过 AI 驱动的开发加速将更多代码投入生产;拓展到新区域;集成 AI 服务;跨一个由不同团队、工具和优先级组成的复杂环境中运作。安全团队根本无法以相同的速度扩展。因此,安全往往陷入被动状态——试图跟上而不是推动变化。
好消息是什么呢??这种情况正在改变。作为 Wiz 负责�产品、可扩展性及合作伙伴关系的副总裁,我与越来越多的领导者进行过交流,他们现在将安全视为创新的使能者,而非阻碍因素。他们将安全融入到开发流程中,让跨职能团队联合起来共同承担风险,采用既保障团队自治又维持控制力的架构。
他们这样做不是为了赶潮流,而是因为业务需要。事实上,根据 2026 年 Cloudflare 应用创新报告,在已对齐安全与应用工作的组织中,85% 都开发了面向 AI 的新应用。这是一个明确的信号,表明安全一致性不仅关乎减少风险,还是现代应用开发的催化剂。
设计决策现已成为安全决策
“安全设计”不仅仅是技术原则,更是战略原则。恰当实施的话,它让组织能够更快行动,而不会降低安全水准。这让安全团队能够专注于高影响力的工作,而非无休止的补救。开发人员可以在其工作流中内置正确的上下文和控制,从而掌握主动权。组织整体韧性得到增强,当出现不可避免的问题时,影响范围也更小。
现实情况是,现代架构——无论是基于短暂基础设施、无服务器功能,还是 AI 管道构建——已经从根本上改变了风险形式。安全不能再只是作为最后的把关。尽早融入安全、贯穿生命周期持续强化的�团队,遭遇到更少的问题并取得更优异的结果。
但这种转变需要的不仅仅是工具,还需要意愿和领导力。
重新定义跨团队的责任归属
我们观察到的最有意义的转变之一,是安全责任的重新定义。在具有前瞻性的企业组织中,开发人员和云工程师不再仅仅是安全工作中的被动参与者,而是站在最前线。他们要为所构建的产品负责,并被赋权做出明智、安全的选择。正如我常说的,安全需要团队合力。
这种模式不会自然而然地形成。这需要领导者消除团队间的摩擦,明确阐述期望,并确保风险信息在必要时能被及时获取。这可能意味着重新审视跨环境的安全可见性、调整策略以适应团队的实际工作方式,或重新调整激励机制,使其着眼于安全创新而非单纯的交付速度。
这些不仅仅是技术层面的改进。而是文化变革,而且不能一蹴而就。
事后才考虑安全性的后果
事后追加安全性,所付出的代价不限于技术债务,还会带来牺牲速度、一致性和信任的代价。
团队需要耗费时间来处理未对齐的告警。孤立的信息导致事件响应缓慢。高严重性风险被遗漏。或许最具�破坏性的是,安全和工程团队之间的关系破裂,导致后续协作愈加困难。
Wiz 的威胁研究团队分析了数十万个云环境,研究结果显示设计缺陷非常普遍。我们的研究人员发现,超过一半 (54%) 的云环境已暴露包含敏感数据(如个人可识别信息 (个人可识别信息) 或支付信息)的虚拟机或无服务器实例。其中 35% 的环境同时存在暴露的数据和高危或危急漏洞,使其很容易被利用。“安全设计”通过将可见性和风险上下文作为系统构建的基础,帮助预防这些漏洞。
配置错误、暴露和过度权限帐户仍有可能发生。然而,我们与数十家直面这些及其他挑战的全球企业进行过合作。而且一半以上的 Wiz 客户不属于安全团队。这表明共享所有权不仅可行,而且有效。当团队采用安全设计模式时,他们能够降低修复时间、改善优先级,并在关键目标上达成更好的一致性。
您目前的模式是否已经成为阻碍因素?
没有一个适合所有企业的蓝图。但有一些信号可以帮助领导者评估其当前模式是否真正支持安全设计。
开发人员能否在不等待安全审查的情况下识别并修复风险?安全团队是否具备充分的可见性和上下文,从而能够专注于最重要的事项?修复工作流程是否快速、自动化且基于共享数据?组织是否可以在不降低开发效率或引入额外风险��的前提下进行创新?
倘若这些问题中有任何一个您的回答是"否"(或甚至"有时"),您就可能需要重新考虑如何在架构和企业文化中融入安全。
安全设计延伸到企业组织之外
安全系统的设计不仅是企业内部的努力。这是对整个云生态系统的贡献。威胁很少是孤立的。今天在一个环境中发现的配置错误,可能明天在另一个环境中被利用。这就是为什么最具韧性的组织不仅保护自身基础设施——还要分享他们的学习成果。
无论是发布研究,为 cloudvulndb.org 这样的开放漏洞数据库做出贡献,还是与业内同行合作以改善共同防御,这些举措都能帮助提高整个生态的安全基准。
这也非常高效。各行业的安全团队经常花费时间独立处理相同的错误配置或暴露模式。通过及早、公开地揭示风险,我们减少了重复工作并全面缩短了响应时间。安全设计意味着设计时也将他人考虑在内。
内置安全不再是可选项
我们正在进入一个应用创新的新时代,由 AI 驱动,开发生命周期显著加速。云原生架构、AI 驱动的管道和全球分布式团队都需要同样动态的安全方案。其中,保护不是最终检查点,而是贯穿整个开发生命周期的默认安全态势。
这不只是一种可能性,而是已经在发生的事情。
Wiz 和 Cloudflare 对安全设计的承诺帮助企业组织减少用于应急响应的时间,将更多精力投入到构建下一代产品中。Cloudflare 和 Wiz 将携手在单一视图中呈现边缘和云风险:通过将 Cloudflare DNS 和 Web 应用防火墙 (WAF) 日志导入 Wiz 平台,团队可以快速发现配置错误、减少安全盲点,并在问题扩大前着手解决。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
作者
Oron Noah
产品、扩展性和合作副总裁,Wiz
关键要点
阅读本文后,您将能够了解:
为什么“安全设计”对应用开发至关重要
协作如何加速开发并提高安全性
事后才考虑安全性的后果