冠军与教练：为什么每个开发团队都需要两者

“冠军” 和 “教练” 这两个词在体育领域之外越来越重要，它们在大多数情况下都具有强大的影响力。生活教练、健康教练、同理心教练和 “冠军” 在许多组织中被加冕，诸如 “安全冠军” 或 “氛围冠军” 之类的头衔正变得越来越主流，并已融入企业的精神和文化。当事情变得艰难时，谁不想让教练或冠军待在自己的角落里？

网络安全行业内的机构长期以来一直在利用倡导者在开发层面传播有关安全的好消息，并维护更高的软件安全标准。BSIMM 称他们为 卫星组，而 OpenSAMM 和 Axway 是支持安全卫士的先驱团体之一 概念和正式计划。这些举措与DevSecOps运动的主要目标之一相交并提供了支持，即从软件开发过程一开始，就承诺在团队和职能部门之间分担安全责任。

许多在网络安全方法中设定目标的公司已经实施了官方的安全倡导者计划，将关键的安全责任（从团队之间的联络和一般啦啦队到监督最佳实践）赋予对此类角色表现出才能和热情的个人。

但是，很明显，“安全冠军” 的角色正在发生变化，一家具有前瞻性的公司可以通过扩大团队，让主要爱好者支持不同但同样重要的职能，从而将可扩展的安全最佳实践提升到新的高度。

我们正在重新定义和复制安全冠军，以真正对面向未来的安全计划产生影响。你准备好组建你的下一个梦之队了吗？

每支优秀的球队都支持一位鼓舞人心的教练。

当你想到莱昂内尔·梅西、迈克尔·乔丹和塞雷娜·威廉姆斯时，通常只有最顽固的球迷才能背诵有关教练的事实，但是，正是这种密切的支持支柱，磨练他们的天赋和朝着目标的动力，才是我们在聚光灯下看到的巨大成功。

没有人指望开发者能为阿根廷赢得大满贯或进球，哎呀，没有人应该指望开发人员会成为安全专家（毕竟，他们注册创建很酷的功能，而不是深入研究安全问题），但是优秀的安全 “教练” 才是他们在团队中的真正拥护者。

开发者方面的安全倡导者更符合我们所认为的教练基础知识。他们对安全充满热情，对自己的知识了如指掌，并且是开发人员有安全问题需要解决时的关键联系人。他们拥有亲身实践的专业知识，可以帮助他们纠正问题并从错误中吸取教训，同时还能确保团队与核心安全最佳实践和价值观保持一致。

请问这位 AppSec 冠军能站起来吗？

AppSec 方面的冠军是安全计划难题中经常缺少的部分。他们对于开发团队的成功绝对至关重要，作为C级和高管人员与开发人员之间的桥梁，他们可以积极倡导他们，帮助他们获得所需的工具，从而对减少漏洞、软件安全以及客户信任和满意度产生积极影响。

优秀的 AppSec 拥护者被公认为企业内部的安全领导者，他们应该在安全培训中发挥重要作用 教练们 直接，最终目标是在团队之间建立更好的结果和关系，所有这些都有助于实现一个共同的目标：一流的、无懈可击的安全代码。

召唤你的超级教练。

冠军和优秀的教练齐头并进，他们共同创造魔法。现有的安全冠军计划确实倾向于将重点放在开发人员身上，但正如我们所确定的那样，真正的拥护者应该站在AppSec方面，让最热情、最有安全意识的开发人员在幕后帮助实现安全编码的出色表现，从而提升团队其他成员的活力。

寻找理想的教练仍然是一个与传统冠军相似的过程：最好的教练是 不 只是 “最擅长” 安全的人。碰巧在安全编码和生成高质量、强化代码方面表现出色的人，可能对担任课外任务的兴趣为零，或者尽管他们天赋异常，但对安全性并不特别兴奋。

相反，如果你寻找符合以下条件的人，你的教练可能会被发现：

• 对网络安全有浓厚的兴趣，从动手编程到及时了解最新事件、工具和最新动态
• 具有不错的人际交往能力；他们喜欢帮助他人，感觉自己像是首选人选（或常驻专家），并且是平易近人的团队合作者
• 可以积极主动地进行开发者方面的宣传；他们知道需要什么来帮助团队，并且可以与他们的AppSec联络员（他们的拥护者）合作，以满足需求，从而实现共同的安全成果。

激励教练职位；无论你选择谁 将 必须承担更多的责任, 而且需要对他们的工作量进行相应的评估.虽然个人兴趣和职业发展会影响潜在教练的动机，但最好看看他们还能因为踢出进球而获得哪些奖励。他们能被派去参加一个很棒的会议吗？他们能多休假吗？他们可以为课程和认证提供资金吗？现在从一开始就花在保护SDLC上的时间和金钱可以在周期的后期节省更多——或者更糟糕的是，如果现场发现漏洞，那么优秀的教练将保持较高的知名度。想办法提供有意义的奖励。

您的下一级安全冠军计划。

归根结底，作为一个行业，我们必须做更多的工作来支持开发人员，让他们站在黑暗的安全方面，激励他们将高质量的代码视为安全的代码。当没有花时间和精力来进行教育和实现成功时，就很难关心某些事情，遗憾的是，安全编码教育往往是这样。与同行教练和 AppSec 倡导者一起进行相关的亲身技能提升确实是加强开发团队释放防御能力所需的三重打击。