企业完全认同IT应用的安全性是数字化战略中不可或缺的一部分，但是具体到BSI实施落地层面，却发现安全活动排不上高优先级，总是会被各种原因不断的往后延期。其中一个常见的说法是，开发团队面临着很大的交付压力，要在规定的发布日期到来前完成计划中的业务功能已经实属不易，没有充足的时间执行安全活动。

　　出现这样的情况并非是因为开发团队不清楚安全的重要性，这背后潜藏的原因是，某些传统安全活动给开发团队留下了一些不太好的印象，比如说，需要耗费开发团队比较多的时间，或者某些传统安全活动过程繁琐、流于形式，难以产生实际有效价值。再加上实现业务功能永远是开发团队的第一优先级，因此安全活动难以推进执行也是必然的结果。

　　从我们的实战经验来看，要解决这一挑战，企业可以精心挑选一个试点团队，将其打造成BSI的样板工程，以成功案例的方式让更多的开发团队进一步了解BSI，明白它能够最大限度的借助自动化，提高开发团队在安全活动上的投入产出比，用相对而言更少的时间，更有效的提高IT应用的安全性。

　　挑战二：传统安全团队的焦虑

　　传统的IT应用安全运作模式是，每次IT应用在发布上线前，开发团队将其交给安全团队做扫描，安全团队将扫描结果汇总成安全报告并提供给开发团队做修复。在这一模式中，安全团队报告的安全漏洞数量越多，严重性越高，越能体现出自身的价值。

　　而在实施了BSI后，开发团队承担了更多的安全职责，将原本由安全团队才有能力报告的安全漏洞及时发现并修复了，这使得传统安全团队感到一丝焦虑。想象一下，如果某次安全扫描后，没有在IT应用中发现任何安全漏洞，安全团队到底是应该欢喜雀跃，还是黯然神伤？

　　BSI是IT应用安全发展的必然趋势，在这个大趋势下，安全团队需要重新思考和调整自己的定位，将关注点从安全漏洞数量，转移到为开发团队提供自动化、自助化的安全服务上来。

　　挑战三：安全活动如何可视化？

　　在实施BSI的过程中，我们经常被开发团队问到的一个问题是：我们做了这么多安全活动，仅仅只是我们自己知道它非常有帮助是不够的，如何才能把它可视化出来？

　　BSI中的每个安全活动都有着明确的产出物，我们可以通过收集整理这些产出物，将其作为基础，通过图表的方式进行可视化。比如，威胁建模会产出一系列安全需求，它们会随着开发的进行逐个被实现。在这一过程中，开发团队可以将当前已完成的安全需求、未完成的安全需求的数量以燃尽图的形式展示出来。再比如，开发团队可以持续统计通过自动化安全测试发现的安全漏洞数量，依然以图表的形式进行可视化。

　　通过BSI安全成熟度模型来对企业或者某个开发团队的安全实践进行评估，并且将其结果可视化出来也是一个不错的选择。不仅如此，企业还能通过这个办法，从中识别出当前面临的安全短板，为开发团队设立安全改进目标提供帮助。

　　在数字化革命面前，金融企业业务的正常运转必然将高度依赖于IT应用的可靠运行，IT应用的安全性将对企业产生重大影响。企业有必要通过BSI这种内建安全的方式，尽早发现安全问题，利用自动化的优势缩短安全问题的反馈周期，持续的、以共同协作的方式主动预知并化解安全问题。

　　作者介绍：

　　马伟：ThoughtWorks高级咨询师、企业应用安全高级咨询顾问，BSI的实践者。

　　杨璐：ThoughtWorks首席咨询师，曾服务于IBM和埃森哲咨询部门，为多家跨国公司和机构提供过安全咨询服务。