安全納入設計
將安全性嵌入到開發的每個階段
如果您今天要從零開始建立自己的企業,您不會到最後才把安全措施硬加進去,而是會從一開始就將它內建於系統中。問題在於,大多數組織並不是現在從零開始建立的。
它們早已在運轉中:在 AI 驅動的開發下,它們正以越來越快的速度將更多程式碼部署到生產環境;拓展到新的區域;整合 AI 服務;並在多組團隊、工具與優先目標交錯複雜的環境下運作。安全團隊根本無法以相同的速度擴展。結果,安全性往往變得被動——試圖跟上變化,而非促進變化。
但好消息是:這種情況正在改變。
身為 Wiz 負責產品、可延伸性與合作夥伴關係的副總裁,我接觸到越來越多領導者,他們如今將安全性視為創新的推手,而非阻礙。他們正將安全性嵌入開發流程中,讓跨職能團隊圍繞共同風險進行協作,並採用可在保有控制力的前提下實現自主性的架構。
他們這樣做並非出於潮流,而是因為業務需求。事實上,根據 Cloudflare 發布的《2026 年應用程式創新報告》,在成功整合安全性與應用程式開發工作的組織中,有 85% 已打造出專為使用 AI 而設計的新應用程式。這清楚地表明,安全協調一致不僅是為了降低風險,更是推動現代應用程式開發的催化劑。
設計決策如今已成為安全性決策
「安全納入設計」不只是一項技術原則,更是一項策略方針。若執行得當,它能讓組織在兼顧安全的前提下加快腳步。它讓安全團隊能專注在高影響力的工作上,而不必陷在無止盡的修補循環中。開發人員也能在具備適當脈絡與控管機制的流程中,主動承擔安全責任。整體組織也會因此更具韌性,即便出錯,影響範圍也相對有限。
現實是,無論是基於短暫存在的基礎架構、無伺服器函式,��還是 AI 管線,現代架構都已徹底改變了風險的樣貌。安全性不能再只是最後一道關卡。那些及早整合安全性,並在整個生命週期中持續強化的團隊,正經歷更少的意外,並取得了更好的成果。
但這種轉變不僅僅需要工具,更需要意圖和領導力。
重新定義跨團隊的擁有權
我們正在見證一個最具意義的轉變,就是安全擁有權的重新定義。在前瞻性的組織中,開發人員和雲端工程師不再只是「與安全沾邊」的角色,他們身處第一線。他們對自己建置的產品負責,並被賦予權力做出明智、安全的選擇。正如我常說的:安全是一項團隊運動。
這種模式不會自然形成。它需要領導者消除團隊間的摩擦、提供明確的期望,並確保在需要時、需要的地方都能獲得風險脈絡。這可能意味著重新思考跨環境的可見性,調整策略以適應團隊的實際工作方式,或圍繞安全創新而不是僅僅追求速度來調整激勵機制。
這些不僅僅是技術上的改進,更是文化的變革,而且不會一蹴而就。
事後才考慮安全性,會發生什麼
當安全性是事後疊加上去時,代價不僅限於技術債務,更會犧牲速度、協作和信任。
團隊會浪費時間處理不相關的警示。由於資訊孤島,事件回應速度減緩。高嚴重性的風險會從縫隙中溜走。而或許最具破壞性的是,安全團隊與工程團隊之間的關係會破裂,使得未來的合作更加困難。
Wiz 威脅研究團隊分析了數十萬個雲端環境,其研究結果揭示了設計缺陷的普遍性。我們的研究人員發現,超過半數 (54%) 的雲端環境中,存在包含敏感資料(如個人識別資訊 (PII) 或支付資訊)且暴露在外的虛擬機器或無伺服器執行個體。其中 35% 的環境既存在暴露的資料,也存在高風險或嚴重漏洞,使它們容易被利用。安全設計則透過將可視性和風險脈絡作為系統建構的基礎,有助於防止這些漏洞的產生。
設定錯誤、資源暴露和帳戶權限過大的問題仍可能發生。但我們與數十家全球大型企業合作,正面迎擊這些與其他挑戰。更重要的是,我們 Wiz 的客戶中,有超過一半來自安全團隊以外的部門。這表明共同擁有權不僅可行,而且有效。當團隊採用安全設計模型時,他們能縮短補救時間、改善優先順序的排定,並更緊密地圍繞最重要的目標進行協作。
您目前的模型是否讓您止步不前?
沒有一體適用的藍圖,但有一些訊號可以幫助領導者評估他們當前的模式是否真正支援安全設計。
開發人員能否在無需等待��安全審查的情況下,識別並補救風險?安全團隊是否具備足夠的可見性和脈絡,能專注於最重要的事項?補救工作流程是否快速、自動化,並基於共用資料?組織能否在不減慢速度或不引入更多風險的情況下進行創新?
如果對以上任何一個問題的回答是「否」(甚至是「有時」),那麼或許是時候重新審視安全性是如何嵌入您的架構和文化之中了。
安全納入設計超越組織疆界
設計安全的系統不僅是內部的工作,更是對更廣泛雲端生態系統的一份貢獻。威脅很少是孤立的。今天在一個環境中發現的設定錯誤,明天可能在另一個環境中被利用。這就是為什麼最具韌性的組織不僅保護自己的基礎架構,更會分享他們的所學所得。
無論是發布研究報告、貢獻至像 cloudvulndb.org 這類的開放漏洞資料庫,或是與產業同業合作以強化共同的防禦體系,這些努力都有助於提升所有人的安全基準。
這同時也是一種效率的提升。不同產業的安全團隊常常耗費時間各自處理相同的設定錯誤或暴露模式。若能提早且公開地揭露風險,我們就能減少重複工作,全面提升回應速度。所謂「安全納入設計」,也意味著在設計時就考慮到「與他人共存」的面向。
內建的安全性不再是可選項
我們正在進入一個由 AI 驅動、大幅加速開發週期的應用程式創新新時代。雲端原生架構、AI 驅動的管線,以及全球分散的團隊,需要一種同樣具備動態性的安全方法。這種方法中,防護不是最終檢查點,而是一種預設狀態——嵌入在開發的每個階段。
這不僅是可能,而是已經在發生。
Wiz 與 Cloudflare 對安全設計的承諾,能協助您的組織減少花費於「救火」的時間,將更多時間用於建構未來。Cloudflare 與 Wiz 將共同在單一檢視中呈現邊緣與雲端風險:透過將 Cloudflare DNS 和 Web 應用程式防火牆 (WAF) 記錄整合進 Wiz 平台,團隊將能夠及早發現設定錯誤、減少盲點,並在問題變大之前及早修復。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
作者
Oron Noah
Wiz 產品、可延伸性與合作夥伴關係副總裁
重點
閱讀�本文後,您將能夠瞭解:
為什麼「安全納入設計」對應用程式開發至關重要
協作如何加速開發和提高安全性
事後才考慮安全性,會發生什麼