分開開發和生產

通常的做法是為開發人員提供其工作站上的本地管理員/超級用戶權限。但是，開發人員應該只能訪問開發環境，而不能訪問實時數據。有權訪問生產環境的系統管理員應該擁有更多受控制的工作站。理想情況下，sys-admin工作站應該沒有Internet訪問，儘管在實踐中很少見。機器。但是，這對開發人員來說很煩人，因為VM降低了性能，並且安全性並不是那麼好。因此，更常見的是，開發人員僅擁有對自己工作站的完全訪問權限。

所以這個答案是從開發者的角度出發的。記在腦子裡。

首先，在我自己的計算機上沒有“本地管理員”權限，這表明我應該在其他地方找工作。如果每次需要更新（或測試）新的依賴項或工具時都需要徵求許可，那麼幾乎不可能編寫代碼，擺弄東西並維護工具鏈。因此，這是我需要的權限級別。請記住，可以這麼說，我通常在梯子上很高。

• 在我的本地計算機上進行全面和完整的管理
• 在所有開發和測試硬件上進行完整併完整的管理
• 對產品的某些級別的管理員訪問權限服務器（這很棘手，我不需要或想要所有東西，但是我需要足夠的診斷和修復生產中出現的問題，以及足夠實際地部署代碼（假設我是必須監督代碼部署的人）。通常，這種訪問級別會隨著時間的推移而發展，但從日誌文件開始。

然後再減少，您就可以找到新的開發人員。

也就是說，在那裡如此高的訪問級別會帶來很多風險，因此我通常建議您使用單獨的網絡，將所有開發人員的“東西”放在自己的網絡中，自己的廣告，自己的文件託管，自己的所有東西，並且永遠不要讓（但要讓它進入互聯網）

是的，這意味著重複的硬件（或VPS），但無論如何您都需要進行測試。是的，這意味著更多的負擔在升級或管理時會出現提示，但是再次需要進行測試。您還需要一個位置來查看“如果升級AD服務器，X軟件會發生什麼？”看一下，您已經準備好用於這種測試的整個測試機器網絡。

我成功實現的（在一個優秀的IT團隊的幫助下）是為所有開發人員“資料”提供的單獨VLAN，以及一個開發人員可以完全訪問的單個VPS主機，可以進行任何所需的操作。在該主機上是一台由IT部門設置為看起來像公司的AD服務器的較小版本的AD服務器。然後是一組文檔和準則，例如關於Web服務器應運行什麼的內容。什麼DNS服務器應該運行，什麼xyz服務器應該運行。然後，“開發”的一部分就是安裝和配置供我們使用的VPS。該VLAN上的所有內容都與生產完全隔離，並被視為公司外部。最後，為我們確實需要訪問的資產（例如電子郵件）創建了一組“打孔”。通常，這就像我們在外部一樣進行處理，並且這些工具的列表很少。

從開發人員的角度來看：

您的工作是防止更改（已知的錯誤和漏洞勝於未知，對嗎？），但我的工作是更改事物。這使我們陷入僵局。我的工作是創建/更改事物。如果您的政策阻止了這種情況，那麼與其他障礙一樣，我的工作的一部分就是找到解決該問題的方法。

您認為哪種危險更大？他需要做的事情，或者通過學習如何規避所有防禦措施而獲得這種訪問權限的人？為什麼當您應該一起工作時，您的公司為什麼要付錢給您和您的開發人員抗衡這場戰爭呢？與他們交談。在少數情況下（無塵室進行反向工程會產生重大法律後果，或處理絕密機密的政府數據），您需要更複雜的政策。但在大多數情況下，這沒什麼大不了的。如果您發動戰爭並使您的開發人員成為敵人，那麼他們將離開或變得比您與他們合作時更加危險。

明智的措施包括不允許在開發筆記本電腦上進行生產數據庫轉儲（僅使用虛假數據）。這樣，如果筆記本電腦被盜，則不會丟失任何機密數據。但是，如果開發人員需要調試東西，他們仍然需要在受控環境中某處訪問生產數據庫的副本。

限制Internet訪問是荒謬的。您可能還需要所有開發人員用羽毛筆和墨水在紙上編寫代碼。

與開發人員對話，找到一種方法，在保持工作水平的同時，為他們提供所需的工作您需要確保重要數據安全的安全性。詳細信息將取決於您的公司以及正在處理的數據。但這並不需要採取嚴厲的措施。

安全工程師不維護計算機，這是服務台所做的。在您的情況下，您將要求他安裝三個工具：

• 管理程序
• docker
• 數據庫軟件

從那裡他可以根據需要添加和刪除用於開發的機器（不需要秒工程師干預）。關於您的“流氓容器”。通常，您不將容器部署到另一台服務器，而是部署docker文件，這些文件從代碼存儲庫中提取代碼或下載經過簽名的已編譯代碼的二進製文件（甚至更安全）。

就流氓而言，我只能想像攻擊者獲得訪問權限並添加更多代碼。這就是為什麼您需要在SDLC的每個步驟中都嵌入安全性，以確保在將所有代碼推上前至少要由另一位開發人員檢查或通過所有代碼。此外，您還可以集成代碼掃描器以自動掃描可疑或易受攻擊的代碼存根。

實際上，這取決於您的第三點。像Riot Games這樣的公司正是這樣做的。他們發現限制聰明人將導致這些人規避控制。因此，他們決定使用簡單的規則和有效的意識培訓來確保將安全性放在首位，並賦予他們充分的管理特權。他們分發了一些小卡片，上面寫著他們應該注意和注意的事項。

我們為開發人員提供了在其計算機上的管理員訪問權限，並讓他們知道規則是什麼。大多數運行Linux，但我們在Windows上也有一些開發人員。他們都知道將文檔，設計等存儲在我們的文件共享中（具有更具體的權限），並將其源代碼推送到我們的Git服務器。

他們還知道我不會花很多時間解決其操作系統的問題。如果他們的計算機出現故障，我們通常會擦拭它並重新安裝操作系統。常見的應用程序和設置是通過Puppet自動安裝的，剩下的事情他們自己來做。他們中的大多數人都有一個帶有點文件（其環境的設置和首選項）的Git存儲庫。

在這種情況下，他們失去的時間對於他們中的大多數來說是足夠的動力。他們喜歡完成工作，而不是花時間去修復操作系統。如果他們因為重要的工作只存儲在本地而丟失了重要的工作，那麼他們將遭到同事和老闆的皺眉。

我們不會阻止任何網站或應用程序（基於DNS的反惡意軟件過濾器除外） ），但對於諸如非法軟件之類的事情有一些公司政策規則。大多數情況下，我們都依靠同伴的壓力。在Facebook上度過時光的人效率低下，持續時間不長。我們的許多政策都是建立在榮譽制度的基礎上的，而且看起來效果很好。

這從根本上取決於上下文。考慮以下兩個設置，我在野外都遇到了這兩個設置：

• 開發人員在自己擁有或擁有完全訪問權限的機器上工作，甚至包括安裝自己的操作系統。他們如何編寫應用程序沒有任何限制。只要將它們連接到包括VPN在內的網絡，他們就可以通過SSH訪問生產系統。
• 所有開發都在一個空白的開發實驗室中進行，不允許開發人員將電子設備帶入其中。所有計算機均已預安裝所有允許的軟件。可部署的工件通過物理介質安全地傳遞給負責部署的另一個團隊。

這兩種設置在上下文中都是適當的-考慮到組織面臨的威脅和需求

這裡有一個基本的權衡。從第一種可能性轉向第二種可能性都會降低生產率。對應用程序有任何控制權的任何人都處於受信任的位置。您不信任他們做的任何事情，要么是您要么必須做，要么創建一個移交過程供他人去做。不降低生產力就無法撤銷信任。

這取決於您正在開發的軟件類型和組織的規模。

對於小公司中單個Rockstar開發人員的工作站，我會使用執行級別的安全例外。風險（包括IT人員，管理人員和開發人員的煩惱）必須加以討論，但最終，如果搖滾明星不能如願以償，他可能會搬到另一家公司。這些人不能容忍摩擦，如果遇到摩擦，他們可以輕鬆地找到更有趣的工作場所。

比超級工作站更典型的場景是擁有一個開發集群，在該集群中，運營可以管理生活和VM死機後，將通過IDS / IPS監視環境，並且（在開發群集上）Internet訪問受到限制，但可以根據需要打開。例如，對於“文檔...”，將與您的開發工作相關的每個技術來源都列入白名單沒有錯。開發人員無論如何都不會隨意插入代碼。他們需要記錄其來源並驗證怪異的許可證。

如果您能引起搖滾明星的注意，他可以幫助將要求推向運營和執行人員，並設計集群和流程，並教育開發團隊

如果有預算，並且開發人員不願意……那麼恕我直言，您不是在與搖滾明星打交道，但歌劇女主角和他們的抱怨應該直接承擔該執行風險。

最困難的部分是管理機器的使用壽命，並確保開發人員的想法不會變成“類似操作的”開發人員-生產系統。但這比開發人員工作站上的VM容易得多。

這個問題提出了許多有趣的問題和挑戰。作為從事開發人員多年然後進入安全領域的人，Ican非常感謝響應和評論中表達的許多論點和觀點。不幸的是，沒有一個確切的答案，因為正確的解決方案取決於上下文，風險敞口和組織的風險承受能力。

安全性不是絕對可以衡量的。每當您遇到安全人員時，他們總是絕對地談論並堅持執行特定的策略，而不管其他任何事情，這要么是經驗不足，要么是無能。安全工程師的作用是促進業務流程，而不是阻礙業務流程，並確保根據相關的安全風險來製定業務決策。一個好的安全工程師會知道，任何阻止員工工作的策略都將不可避免地失敗，因為員工會找到解決該策略的方法。通常，這些變通辦法的安全性甚至更低。安全經理的職責是了解組織內的各種角色，並確保以這樣的方式組織策略：政策不僅支持角色要求的內容，而且鼓勵良好的做法並阻止不良的做法。這可能非常困難，尤其是在大型組織中。同時，開發人員和組織中的其他人員也需要認識到他們可能不具備所有相關信息才能理解為什麼需要某些策略。開發人員和其他人常常將安全工程師視為障礙或乾擾官僚，他們不了解完成他們的工作需要什麼。

通常，通過溝通來解決這些問題。我經常讓開發人員感到沮喪，因為他們認為毫無意義的某些政策正在阻礙他們。一旦我們坐下來討論 問題，通常會發生許多事情；

• 開發人員要么誤解了該政策，要么已讀懂了不正確的假設，並且給人以為該政策可以防止某些事情發生。通常，這將導致對策略進行審查以提高清晰度
• 安全工程師意識到合法的業務需求，而這種需求必須以維持足夠的安全控制的方式來滿足。這很可能導致對該政策的審查。
• 開發人員會意識到其他一些需求或風險，這些需求或風險最初並不明顯。這通常會導致開發人員確定滿足他們要求的替代解決方案
• 確定了一個問題，該問題無法以組織可接受的風險承受能力（即可接受的風險級別）之內的任何一方來解決。 ）。這種情況通常會導致將問題升級到執行級別以做出決定。這樣做的難度將取決於組織的規模和結構。一旦做出決定，開發人員和安全工程師都需要在執行人員設置的參數範圍內工作，以找到他們可以找到的最佳解決方案。

有很多至關重要的響應對他們的生產力水平產生不利影響的政策。儘管任何開發人員都應該提出此類問題，但最終還是必須接受執行人員做出的任何決定，或者尋找替代雇主。假設您知道得更好，或者您有權無視這項政策，這對您和您的雇主來說都是自大和危險的。如果您確信自己是對的，那麼您應該能夠說服管理層。如果您不能做到，或者您不如您想像的那樣，缺乏足夠的溝通技巧來提出令人信服的論點，不具備所有信息或正在為 無能的雇主。在行業工作了35年之後，儘管Dilbert可能會引起您的思考，但後者並不像您期望的那樣普遍。在這方面最常見的衝突根源是溝通不暢和缺乏信息。您會錯過團隊負責人，經理和執行人員還需要管理的更大的圖景。賦予開發人員很多自由和信任的環境，這導致了高水平的生產率，但是卻導致了其他問題-關鍵開發人員長時間離開或患病而其他人都無法負擔的情況之所以能夠正常工作，是因為它們全部位於其唯一配置和管理的桌面上，或者試圖調試由於缺乏標准設置/配置而無法輕易重現的難題，或者由於開發人員意外離開正在運行的某些服務而導致的可疑的安全漏洞。缺乏標準的安全控制。作為專注於特定領域或技術的開發人員並不能保證在其他所有方面都具有專業知識。在安全性和/或環境管理方面，我曾與之合作過的一些最優秀的開發人員表現最差。這可能部分歸因於對特定問題的關注，而更可能僅僅是由於容量。我們誰都沒有能力跨越所有事物，因此我們需要認識到有時候，向那些擅長我們不擅長的領域的人致敬很重要。

不斷變化的環境

限制策略在桌面上可以執行的操作的主要原因之一是基於以下基本假設：本地網絡中的桌面比桌面具有更高的信任級別網絡外部的桌面。傳統上，它們位於防火牆和其他外圍 防禦並可以移動訪問信息資源。這意味著它們帶來了更高的風險，因此需要更多的安全控制措施。限制策略/措施的其他原因包括環境的標準化，可以降低支持成本並提高一致性（尤其是當更多應用程序依賴於平台/ OS時，尤其如此-記住所有需要AtiveX或特定版本IE的可怕應用程序）。虛擬機和容器，雲服務和商品IT服務的增長以及網絡容量的增加導致許多變化，這很可能使此線程中提出的許多問題變得無關緊要。特別是，向零信任網絡的轉變可能會發生重大變化。在零信任網絡中，與網絡外部的設備相比，看不到網絡內部的設備具有任何特殊的額外信任級別。僅由於您具有正確的IP地址，所以您無法訪問資源。相反，信任更多地基於用戶和設備信息的組合。確定您可以訪問什麼的策略由您的憑據和您要從其連接的設備確定。該設備所在的位置無關緊要。這也是一個模型，非常適合BYOD的增長，員工流動性的提高以及基於門檻/能力和非地理位置的僱用員工需求的增長。

一旦您刪除了“信任”級別與設備相關聯，您無需控制可應用於設備的內容。您可能仍要求設備支持特定的配置文件-例如，如果他們的設備運行Windows XPetc，則您可能拒絕允許任何人訪問您的資源。但是，您不必擔心設備。同樣，您不會直接在設備上進行過多的工作。在某種程度上，設備將 更像瘦客戶機。您將使用遠程託管的VM和容器。這本身並不能解決所有問題，並且可能只是將其中一些問題從本地桌面移至遠程VM或容器。但是，一旦將其與各種DevOps樣式編排結合起來，則開發人員可能需要增強特權的許多原因就被刪除了。例如，您可能不需要訪問生產系統。新代碼的推廣將通過精心設計的持續集成系統進行，當您需要調試問題時，將為您提供與生產系統完全相同的VM或容器。

這些更改均不會發生神奇地解決任何問題，但它們將提供範圍更廣的更靈活的工具和解決方案，而這些工具和解決方案可能會降低複雜性。降低複雜性將使安全管理更加輕鬆。更加容易的安全管理將減少對工作職責的無意或不必要的限製或障礙。但是，歸根結底，關鍵要求是

• 通過一種尺寸不能全部滿足所有人的要求進行識別。一切都需要在組織的範圍內進行評估。
• 願意將組織的需求放在首位。
• 良好的雙向溝通。
• 各方願意努力尋求可以相互接受的解決方案，
• 各方願意妥協的意願
• 願意在系統中工作並調整您的工作流程或首選的工作方式以符合組織的要求

我也是開發人員，這是我的看法：

問題比您想像的還要嚴重

沒有湯匙

開發與軟件。開發是指製造或改善產品，服務和流程。軟件是重要的工具，但不是唯一的工具。優秀的開發人員將在更廣泛的意義上定義流程，以了解要創建哪些軟件組件以及要建議的人力，後勤，風險管理流程。開發依賴於尚未實現的人員，後勤和書面流程的軟件系統沒有任何意義。

開發沒有規則，因為開發正在定義規則。這就是使開發成為最惡劣的安全環境的原因。

但這並不意味著不應建立某些控制措施。相反，許多控制應該由開發團隊自己設置。

工程過程

有些公司主張在自上而下的過程中將業務與技術分開。這實際上很受歡迎，因為這表明沒有技術知識的商人應該居於首位。 懶惰的人喜歡。但是在工程中，自上而下的設計根本行不通。 Feyman（1985）在分析挑戰者爆炸事件的總統委員會上發表了一篇不錯的文章。從根本上講，自上而下的工程設計最終會使公司破產。而且我的市場經驗進一步加強了這種理解。

挑戰者爆炸就是一個很好的例子。美國國家航空航天局的經理在調查委員會的鏡頭上作證說，他們開發了一種橡膠，該橡膠在冰點以下60度下仍能保持柔韌性。由一位專員進行的一項簡單的高中物理實驗（將橡膠成分放入鉗中壓入冰水中）與這一事實相矛盾。這是一個很好的例子，因為這種橡膠成分需要柔軟，以使助推器不爆炸。由於這樣做需要夏季溫度，因此增壓器僅在夏季工作。單個組件的特性定義了整個產品的可見特性，這是非常有限的。

工程應該自下而上進行，因為您需要了解每個組件的局限性和弱點，以精製流程來減輕它們的影響。 。緩解過程通常不是軟件，並且會影響產品的成本。這意味著各個組件的特徵和局限性將定義產品，服務和過程的特徵。

自上而下的過程從根本上打破了。在紙上採用這種哲學的許多公司仍然在市場上取得成功。但是，當您考察他們的大型項目和最成功的項目時，您會發現它們是在正常公司規則範圍之外進行的。擁有深厚的工程知識和對市場有遠見的人得到非正式授權後，就會獲得最大的成功。由於這是非正式的，因此管理層認為自上而下的過程是有效的。他們認為所有其他團隊都不稱職。對於最初的項目大綱在離開“頂層”階段時被完全忽略並且沒有描述所構建的產品，服務和過程的事實視而不見。

您的經理可以定義您在月底之前設計一個遠程傳輸設備，因為他得出的結論是，這將使旅行業務獲得高額利潤……但那不會實現。自上而下的項目就是這樣，設定了技術上不合理的期望。

不要誤會我的意思，很高興能從多個角度看到問題。自下而上，自上而下，SWOT等等對於分析是健康的，但是真正的工程工作是自下而上的。沒有技術可行性就沒有真正的目標。

開發安全性

我們要記住，軟件開發人員將定期更改公司軟件，因此，他們可以：更改任何人的屏幕上顯示的內容，向包括他們自己在內的任何人發送自動電子郵件，或打開後門以執行他們想要的操作。這意味著僱用為開發人員的罪犯可能會對公司造成重大損害。

最糟糕的是，有許多公司沒有執行源代碼存儲庫證據，然後僱用的開發人員可以提供與給定源不同的二進製文件。這使犯罪的開發人員可以劫持公司的系統，如果不僱用他們的話，這些事情很快就會停止工作。

對我來說，開發安全性應集中在：

• 源代碼版本控制：確保將所需的源代碼和第三方組件存儲在安全的位置。
• 戰略分工：初級和臨時開發人員必須只能訪問源代碼和數據。他們只需要訪問要更改的組件，就可以避免初級開發人員能夠理解所有系統的內部工作原理並加以利用。
• 信任核心開發人員：高級/核心開發人員將必須了解所有內容，可以訪問所有內容，計劃和分發任務以及診斷嚴重問題。這個核心必須在開發和生產中都可以訪問整個事物。他們是您制定安全策略的合作夥伴。我們必須接受核心開發者擁有公司的所有權。我的老老闆曾經說過：“我們很幸運，盧卡斯站在我們這邊，另一方面他會摧毀我們”。核心開發人員如果願意，可能會造成很大的損失，並且沒有防火牆和生產控制措施可以防止這種情況發生。
• 通過防火牆隔離環境：將您的開發網絡與您的測試網絡，從您的生產網絡。在一家公司中，我定義了網絡10.1。作為發展，10.2。作為測試和10.3。作為生產。 10.2和10.3網絡僅通過公司CVS接收代碼，並根據admin命令自動構建它們。儘管這是一家小型初創公司，並且我在生產和開發團隊中工作，但我還是做了一些官僚機構來避免自己的錯誤（開發人員可以是您最好的盟友）。我還通過網絡更改了終端顏色：在生產服務器中連接時，終端背景為紅色，測試為黃色，開發為綠色。由於我所有的服務器都使用相同的配置，因此如果打開提示，很容易將它們混淆。以我的經驗，大多數問題來自未經測試的軟件和新軟件的安裝。明確說明：我認為您在哪裡是一項強大的安全功能。它與訪問無關，但與安全性有關。
• 聘請經驗豐富的測試開發人員：測試的關鍵方面是擁有大量良好的模擬數據，這些數據對於公司面臨的問題有意義。蒙特卡洛（Monte-Carlo）模擬非常適合生成對其他開發人員有意義的大型數據集，並且可以帶來更強大，更靈活的軟件和流程。對我而言，沒有“生產”失敗，開發人員總是要怪罪。必須編寫維護任務和意外事件。軟件必須具有彈性。
• 源代碼審查：讓人們在接受修改之前先審查源代碼。所有項目都應在源代碼控制上進行分支，並應檢查合併。源代碼審查僅應困擾於惡意軟件檢測，訪問升級，訪問配置文件以及對源代碼含義和作用的良好解釋。代碼的質量將通過測試而不是源代碼審查來保證。您可以在大多數開源項目中看到這一點。
• 測試策略測試更多是一種企業文化，而不是框架。一些公司採用市場框架，進行一些測試，但是其代碼質量很差。發生這種情況是因為您需要能夠進行有意義的測試的人員。實際上，開發必須成為測試驅動的。我不知道其他安全的開發方式。令人奇怪的是，人類，採購和諮詢服務也都必須經過測試。供應商常常聲稱他們的產品性能完美無缺，但是我還沒有發現完美的產品。
• 如果不加以監控，政策是毫無意義的。我知道一家公司有一個官僚機構，即每個數據庫表都應該在屬性級別上有描述。 95％的屬性被描述為“ $ {table name}的$ {attribute name}”。它沒有解釋屬性的真正含義，值可能包含的內容和內容。
• 適當的薪酬和工作環境。要擁有技能和個性上都不錯的開發人員，您必須有良好的薪酬政策。金錢固然重要，但還遠遠不夠。您還需要具有遠見/穩定性，真正的認識和良好的工作環境。例如，您可以選擇一個較小的城市，而在紐約，該開發辦公室中人們居住在小公寓中，而相同的報酬可以使房屋更大，更接近工作地點。更大的計算機，良好的實驗室對於技術愛好者來說也是一個加分。
• 數據安全許多活動需要敏感的生產數據，應在專門的實驗室中進行訪問。除非您的信息是公開的或不敏感的，否則最好的策略可能是將實驗室放置在物理訪問受控的良好社區中。只允許將一些模擬數據放在不敏感的個人筆記本電腦和組件上。那是可能的。例如，我為一家公司開發了45億條記錄的訪問量很大的數據存檔。我當時在家中工作，因此完全不使用公司數據。當我提交代碼時，它在第一次嘗試中就按預期工作。除了硬件故障和生產環境的遷移，我們在10年內具有100％的可用性。開發人員隨身攜帶源代碼的風險不相關。這個特殊的系統花了我3個月的時間進行開發，這次大部分時間是為了了解組件的性能限制。現在，這就是我內心的知識。即使沒有源代碼，我也可以在大約一周的時間內重新開發此解決方案。
• 強大的日誌對於了解每個人所做的事情都很重要。最好的辦法是由框架生成日誌，記錄短時間的詳細屏幕，更長的訪問和活動時間，甚至更長的公司日誌。每當訪問屏幕（包括屏幕設計）時，我的關鍵系統都會記錄日誌。一些關鍵資源應該由觸發器本身記錄在數據庫本身上，並且應該標記關鍵表或資源以進行源代碼審核。
  -日誌篩選很難手動完成。了解如何在日誌上進行過濾以查看關鍵事件。一種非常有用的過濾器是使投訴報告與用戶訪問權限和活動交叉。如果您有足夠的日誌，則會發現巧合。例如：在問題user1始終登錄之前。

關於不訪問生產系統

要求開發人員不訪問生產系統的規則是因為用戶在那里以避免開發人員提交代碼以向他/她自己的用戶顯示特權信息。我認為這是一個非常非常弱的安全措施，很容易在源代碼審核中檢測到。有幾種簡單的方法可以避免此問題：

• 開發人員加一名低薪員工；
• 向自己發送電子郵件；
• 打開一個系統中的後門。

尋找後門，訪問升級和惡意軟件的源代碼審核似乎更有效率。它允許您在測試漏洞利用程序時將其識別出來並予以解僱。當然，熟練的開發人員可以將漏洞隱藏起來，因此使用清晰明了的語言和變量名很重要。僅在需要特殊性能或混淆性的應用程序的書面證明中使用奇怪的解決方案。例如，1 << 4與1 * 16相同。這僅在語言本身沒有進行此優化並且發生性能瓶頸的情況下才有意義。出於同樣的原因，太多的符號語言也是不好的。源代碼應該是任何怪胎都可以讀取的。

問題比您想像的還要嚴重

開發人員可能造成的最容易和最嚴重的損害與工具安裝無關。即使開發環境是託管的，如果公司沒有強大的防火牆，源代碼存儲庫，僅基於源代碼存儲庫和代碼審查的基礎架構，也不會有太大的改變。

作為顧問，我曾在許多不同的公司工作過，其中只有兩家沒有授予開發人員對其機器的管理員訪問權限；一個人是一個小公司，另一個人是一個大公司。 >在一家大公司，我請求管理員訪問權限，並被告知，即使他們同意我應該擁有該權限，但公司政策禁止該權限，因此他們無法更改。因此，有一個IT人員過來在我的計算機上創建了一個本地管理員帳戶，並讓我為其設置了密碼。從那時起，無論何時我需要成為管理員，我都可以以本地管理員身份登錄計算機，或者僅使用runas啟動Visual Studio或需要與管理員用戶（例如IIS）一起運行的任何服務/應用程序。這並不比選擇內置的“以管理員身份運行”更糟糕。只是稍微慢一點，儘管幸運的是它不會經常出現。

請記住，這裡更大的安全問題是IP的滲透，而不是惡意軟件。希望您已經擁有IDS / IPS來處理後者，這應該不會成為問題。

只要具備以下條件，您就可以擺脫對開發設備的管理員訪問權限： / p>

• 反eDLP（網絡，USB等）
• IDS / IPS
• 經過MITM NTLM認證的公司代理，通過它您可以強制所有連接並進行監視違反DLP
• 拒絕台式機上的所有虛擬化軟件。如果需要虛擬機，請從託管雲中配置一個虛擬機，從而使所有虛擬機都可以使用上述工具運行相同的過時的標準化映像。
• 在網絡級別阻止對外部軟件存儲庫的訪問（這會嚴重影響pip，git，maven，apt，yast，zypper以及其他所有內容）
• 在網絡級別阻止訪問github，codeplex和所有其他150個代碼共享站點
• 阻止訪問網絡級別的所有9000多個文件共享站點
• 阻止對P2P ...等的訪問...

我的雇主做了所有這些以及更多工作。無論如何，很多同事最終在下班後在家中用自己的個人設備進行開發，然後通過側通道將其扔回到籬笆上，以避開受損的基礎設施。就我個人而言，我寧願度過一個晚上喝酒，夢見在狗鎮定劑上過量使用，而不是浪費額外的20小時未做的事情來做反正會讓我被解僱的事情。 ）科學。在無菌條件下進行科學實驗，以控制變量。在殘缺的環境中進行開發是不科學的，在這種環境中，由於環境因素，事情無法按預期進行。我可以從經驗中告訴您，您無法從中獲得精心設計的軟件...內部開發的所有內容都被破壞了，這導致在第三方解決方案上的更多支出。

開發人員絕對必須要有一個無菌的環境才能開發。我無法告訴您各種安全控件將gremlins引入開發和生產架構的次數了-因此，託管的，無菌的，基於雲的開發環境確實是唯一的辦法。 “它在實驗室工作，問題一定是外部的。”

您只需要確保讓他們進行調配的VM不會過時，並且需要自動執行OpenStack或AWS的調配過程，因此開發人員無需等待幾天即可滿足擴展需求。集中管理所有人員，可以為您提供大量的審核控制權，並且坦率地說，使開發人員的性能比他們自己使用設備要好。

我是選擇＃2的粉絲：擁有單獨的計算機。

允許將具有專有信息的公司計算機連接到互聯網為黑客打開了大門。

如果員工必須使用特殊的機器來訪問Internet資源，則員工可以更容易地出於非法目的而洩露公司數據。非常安全。同樣，它也阻止員工像我現在那樣閒著瀏覽網頁或浪費時間在互聯網論壇上。

作為管理員，可以通過SaaS方法徹底解決此問題。虛擬化所有不同的環境，將它們放在適合客戶端數量的服務器機架上，並配置一些遠程訪問（RDP，終端服務或其他...）。現在，所有內容都在服務器上，並且只有一種環境可供所有人維護。