1.3.3　开发安全关注点

人是一切安全活动开展的基本。做好开发安全工作，要以人为本，重点从安全文化、流程管控、安全技术和安全运营体系等多个维度展开。

1）安全文化。文化是每个企业和机构强大而独特的组成部分。要做好开发安全工作，企业需要努力构筑安全和研发彼此依赖、彼此助力的融合文化：将安全和研发同步规划、同步构建、同步运营作为基本原则，强化人人为安全负责的意识，让所有成员在日常工作中建立安全意识。这样的文化氛围才能为持续高效地开发安全的软件产品打好思想基础。

2）流程管控。在软件开发生命周期中，企业还应确保整个软件开发及上线运营等全流程中的安全，可建立安全开发流程框架，提高开发过程中安全工作的效率和质量，解决开发流程中的安全问题。

3）安全技术。软件开发过程中使用的技术越多，技术滥用的机会也会更多。只有整个软件开发过程中充分采用缺陷检测技术，才能进一步提高软件产品的安全性。需要注意的是，这些技术不仅能识别缺陷，还能让团队轻松地解决问题。

4）安全运营体系。安全运营体系旨在以安全效果为目标将安全在软件生命周期中运营起来。企业需关注“如何构建和提升安全”“如何持续处于安全的状态”以及“如何在安全成本和威胁之间做出正确选择”等问题。