亚马逊首席技术官、副总裁Werner Vogels在CSS上演讲

钛媒体快讯 | 7月30日消息：亚马逊首席技术官、副总裁Werner Vogels出席了腾讯公司主办的第五届互联网安全领袖峰会（Cyber Security Summit2019，简称CSS2019）。

Werner 认为安全不仅仅是安全团队的任务，而是每个工程师都需要关注到的内容，我们要有将安全纳入战略思考的思维。因为安全问题不仅仅是阻止非安全事件的发生，而是还要以最快的速度管控黑客攻击、考虑顾客对安全的需求等等。

同时，在安全自动化方面，他认为安全应该实现自动化：“我们应该很大程度上尽可能把安全操作都进行自动化，这样才可以让客户以自我保护的方式更好地保护自己。”

对此，他提出了两个安全防护措施，首先是关于管道本身，如部署的服务器以及构建的服务器都必须得到很好的保护，应该有一些访问权限，或者对构建的服务器节点进行硬化。二是CI/CD管线当中的安全，即安全应该融入到管道当中的每一部分。

另外，Werner也表示，以前的一些做法安全防护的做法，如软件打包，等待警告等实际上已经完全过时了，这些方式非常脆弱也非常容易被攻击。（本文首发钛媒体，整理/秦聪慧）

以下为Werner演讲全文，略经钛媒体编辑整理：

大家早上好！我的演讲将关注几个内容，其中一点是我认为安全并不是安全团队的任务，而是每一个工程师都需要关注到的内容。

安全是每个工程师的事情

每年当我们考虑到安全时，不同资本市场都在考虑不同的一些内容：安全问题会给我们带来更多的损失，尤其会受到很多影响。

在我的祖国荷兰这样一个小国也可能会遭受到很多安全问题。从去年开始，我们有超过15000个左右的安全问题。

这是在一个小国发生的问题，全世界范围之内安全问题可能也非常普遍。于是，我们想阻止这些安全问题，我认为不仅仅是安全团队，所有人都应该加入到其中，我们要有将安全纳入战略思考的思维。

在这个变革中的社会，我们必须要明确，安全问题不仅仅是阻止安全事件的发生，而且需要先人一步考虑到不同黑客的攻击，以及顾客的需求，我们必须要以最快的速度来进行思考。所有安全问题，不仅仅是需要阻断，而是需要通过这些方式进行更好的管控。

公司的每一位工程师都需要承担起安全方面的职责和任务，安全团队中的人员涉及运营、工程、应用与合规多个方面，在新的安全团队中应该也有开发人员。

我们用6个月或9个月时间开发了一个软件，安全问题也就随之来了——几千、几万行的代码只放一些防护的东西就真的安全了吗？

过去，我们会用防火墙保护公司或个人数据，这种情况下很多数据的破坏是破门而入的。比如很多员工收到了新邮件，里面有一个链接，打开链接，你的系统就被攻击了，有些java系统在下载时就被攻击了。现在所有东西都已经开放了，因此每个人都应该有安全的职责，安全分析也变得非常重要。

在一个公司，每周大概有174000个警告需要去进行检查，用人工的话基本没有这个时间，比如Capital One这个金融机构曾经花了两天的时间才解决掉被攻击以及漏洞问题。

在一个开源世界当中，很多安全问题出现了，但开发人员并不关注也没有采取措施，因为他们觉得这不是他们的任务。现在开源软件的使用越来越多，开发人员也应当关注安全，因为这是每个人的职责、每个人的任务。

安全应该实现自动化

我关注的第二个问题是，安全应该实现自动化，即我们应该尽可能把安全操作都进行自动化，这样才可以更好地让客户用自我保护的方式保护自己。

在哪里做这些安全保护？

我认为开发人员需要承担起相应的职责。开发人员的软件开发最终都需要进入部署阶段，开发人员也在等待这一天要去进行持续的部署。但是如果一天部署了几百次，如何能够保证你所开发的软件在几百次更新之后依然是合规的，依然能够满足安全的要求，依然能够保护客户呢？

看一下整个开发管道，有两方面需要给予足够关注。首先是关于管道本身，如部署的服务器以及构建的服务器都必须得到很好的保护，应该有一些访问权限，或者对构建的服务器节点进行硬化。二是CI/CD管线当中的安全，即安全应该融入到管道当中每一部分。