目錄致謝 4行業(yè)合作伙伴 6簡介 8概述 8高層支持與參與 10計(jì)劃設(shè)計(jì)與實(shí)施 11將冠軍帶到挑戰(zhàn)中 14通過安全意識和培訓(xùn)加強(qiáng)該計(jì)劃 15計(jì)劃持續(xù)運(yùn)維與成效評估 17總結(jié) 19附錄一：健康問題與討論要點(diǎn) 21附錄二：延伸閱讀 22簡介云安全聯(lián)盟（CloudSecurityAlliance）和SAFECode都堅(jiān)定地致力于改善軟件安全成果。2019年8月發(fā)布的論文《DevSecOps的六大支柱》提供了一套高層次的方法和成功實(shí)施的解決方案，作者通過這些方法和解決方案來快速構(gòu)建軟件，并盡量減少與安全相關(guān)的錯誤。這六大支柱是支柱1：集體責(zé)任支柱2：培訓(xùn)和流程整合支柱3：務(wù)實(shí)的實(shí)現(xiàn)支柱4：建立合規(guī)與發(fā)展的橋梁支柱5：自動化支柱6：測量、監(jiān)控、報告和行動云安全聯(lián)盟（CloudSecurityAlliance）和SAFECode將聯(lián)合出版一套更為詳細(xì)的出版物，介紹支撐上述每個支柱的成功解決方案。本報告是這些后續(xù)出版物中的第一份。概述DevSecOps將安全原則、流程和技術(shù)整合到持續(xù)的軟件開發(fā)和IT運(yùn)營文化中，從而影響其實(shí)踐和工作流程。它將傳統(tǒng)上相互隔離的開發(fā)、基礎(chǔ)設(shè)施運(yùn)營和信息安全領(lǐng)域匯聚在一起，通過一套共同的流程、程序和工具自動化，促進(jìn)安全軟件的開發(fā)。DevSecOps動的，這種環(huán)境具有越來越短的產(chǎn)品生命周期、更迭代的開發(fā)方法以及開發(fā)和IT運(yùn)營的日益集成。傳統(tǒng)的安全開發(fā)方法往往難以滿足那些在云環(huán)境中工作的人快速采用的持續(xù)開發(fā)方法的需求。將安全開發(fā)實(shí)踐集成到DevOps中需要一種更敏捷的安全方法，包括增加安全流程的自動化、更周到和務(wù)實(shí)的安全實(shí)施規(guī)劃、更明確地列舉風(fēng)險和合規(guī)要求，以及更具操作性的監(jiān)控和測量方法。此外，要使所有這些元素作為一個整體的DevSecOps方法協(xié)同工作，需要每個接觸該流程的人都有集體安全責(zé)任意識。鑒于對DevSecOps的興趣增加，云安全聯(lián)盟（CSA）和軟件保證卓越代碼論壇（SAFECode）組成了一個DevSecOps工作組，以識別和分享開發(fā)和維持DevSecOps項(xiàng)目的最佳實(shí)踐。作為第一步，工作組根據(jù)CSA的反射性安全框架中描述的六大支柱，確定并定義了將DevSecOps集成到組織中的六個關(guān)鍵關(guān)注領(lǐng)域。隨著時間的推移，我們將重新審視并建立每個DevSecOps支柱的更詳細(xì)的研究和指導(dǎo)，以維護(hù)特定行業(yè)的標(biāo)準(zhǔn)。本文是計(jì)劃中的系列文章的一部分，將重點(diǎn)關(guān)注arguably其他所有支柱基礎(chǔ)的領(lǐng)域——集體責(zé)任。培養(yǎng)集體安全責(zé)任意識不僅是將安全融入DevOps環(huán)境的重要組成部分，也是最具挑戰(zhàn)性的任務(wù)之一。這需要培養(yǎng)組織在軟件安全方面的思維方式、理念、習(xí)俗和行為的轉(zhuǎn)變。在本報告中，我們將這種努力稱為構(gòu)建支持安全的文化。這種文化的一些顯著特征包括以下特點(diǎn)：實(shí)施安全設(shè)計(jì)的心態(tài)：在軟件開發(fā)和運(yùn)營的每個階段都考慮和解決安全問題。安全不是事后的想法，也不是僅僅通過審計(jì)發(fā)現(xiàn)來處理的問題。一種全員參與——從開發(fā)到IT運(yùn)營再到高層管理——在確保軟件安全方面發(fā)揮作用，并作為組織應(yīng)對當(dāng)今復(fù)雜威脅環(huán)境的第一道防線的意識。強(qiáng)調(diào)個人責(zé)任和信任。這種方法使自主性和敏捷性得以增強(qiáng)，提供必要的安全信息和工具，以便進(jìn)行知情的分散式行動和決策。這與傳統(tǒng)上限制性較強(qiáng)、手動密集且相互隔離的安全流程有所不同。明確認(rèn)識到安全并非與業(yè)務(wù)目標(biāo)分開或截然不同，因此，積極的安全行為和激勵措施之間存在明確且可識別的一致性，并且相信團(tuán)隊(duì)成員在其安全工作中會得到支持。盡管關(guān)于培養(yǎng)支持安全的文化的必要性已有大量著作，但它仍然是DevSecOps執(zhí)行過程中最常被提及的挑戰(zhàn)之一。文化通常被描述為組織的一個關(guān)鍵但無形的要素。不幸的是，這可能導(dǎo)致一種相當(dāng)臨時的文化變革方法。在軟件安全方面，這通常表現(xiàn)為偶爾的黑客馬拉松或漏洞清理活動，或者可能是關(guān)于軟件安全實(shí)踐價值的年度培訓(xùn)課程。這并不是說這些活動沒有價值，而是說如果它們沒有在團(tuán)隊(duì)目標(biāo)的背景下呈現(xiàn)、沒有得到加強(qiáng)，或者沒有包括正確的受眾，它們的影響是有限的。在周期開始時引入安全知識和培訓(xùn)可以幫助避免這些臨時會議的需要。高層支持與參與用于創(chuàng)建和維持支持安全的文化的方法各不相同，但幾乎所有成功的組織都共享的一個基本要素是支持和參與型的領(lǐng)導(dǎo)團(tuán)隊(duì)。管理層的支持不僅是確保對DevSecOps進(jìn)行足夠的時間和資源投入的必要條件，也是確保這些努力得到實(shí)地支持的關(guān)鍵。員工能夠分辨出對安全計(jì)劃的象征性支持或勉強(qiáng)支持與嚴(yán)肅承諾之間的區(qū)別，并且他們的這種認(rèn)識不可避免地會反映在他們執(zhí)行計(jì)劃部分的方式上。為了獲得管理層對安全文化發(fā)展的支持，通常需要提出一個全面的、以結(jié)果為導(dǎo)向的計(jì)劃，而不是一系列臨時性的活動。設(shè)計(jì)一個計(jì)劃級的方法至少需要制定一個與業(yè)務(wù)戰(zhàn)略緊密相關(guān)的商業(yè)案例、一個詳細(xì)的實(shí)施計(jì)劃以及關(guān)鍵的項(xiàng)目指標(biāo)。參與云安全聯(lián)盟（CSA）和SAFECode等組織也有助于了解類似組織是如何處理安全文化發(fā)展的，這同樣可以支持商業(yè)案例的提出。計(jì)劃設(shè)計(jì)與實(shí)施建立安全文化應(yīng)被視為一項(xiàng)重要且持續(xù)的計(jì)劃級工作，而不僅僅是一系列臨時性活動的簡單集合。這需要對旨在培養(yǎng)集體安全責(zé)任感的新舉措進(jìn)行精心規(guī)劃和周密部署。以下是那些希望采用計(jì)劃管理方法的人需要考慮的一些常見問題。當(dāng)一個企業(yè)設(shè)計(jì)一個支持安全文化的計(jì)劃時，任務(wù)是將安全意識和集體責(zé)任感融入現(xiàn)有的組織文化中。這要求安全領(lǐng)導(dǎo)者在計(jì)劃設(shè)計(jì)中考慮其組織和開發(fā)團(tuán)隊(duì)的現(xiàn)有文化和業(yè)務(wù)實(shí)踐。一個有用的方法是研究過去需求或流程變更的例子，以嘗試找出有效的溝通和社交化方法，并將其應(yīng)用于安全開發(fā)工作。例如，安全領(lǐng)導(dǎo)者可能會考慮財(cái)務(wù)和會計(jì)團(tuán)隊(duì)如何與開發(fā)團(tuán)隊(duì)合作，以促進(jìn)和慶祝其新發(fā)票和費(fèi)用報告系統(tǒng)在全公司的推出，初步威脅模型如何有助于簡化產(chǎn)品設(shè)計(jì)并降低成本和風(fēng)險，或者為什么盡管增加了工作量，產(chǎn)品管理的新文檔要求卻如此迅速地被接受？其他一些常見問題包括以下問題：團(tuán)隊(duì)是更傾向于響應(yīng)公司高層的指令，還是更傾向于接受來自工程內(nèi)部的更基層的方法？哪些類型的激勵措施更有助于促進(jìn)行為改變？組織中的關(guān)鍵影響者是誰，他們是否有可能在這方面提供幫助？集體安全責(zé)任文化與工程團(tuán)隊(duì)以及整個公司的目標(biāo)和愿景之間有什么關(guān)系？安全要求和實(shí)踐在哪些方面與開發(fā)流程相沖突，如何最小化這些目的沖突？中高層管理人員應(yīng)該如何參與？現(xiàn)有的文化和相關(guān)流程是否仍然與業(yè)務(wù)目標(biāo)保持一致，還是已經(jīng)過時？如果過時了，是否還有價值/可以改進(jìn)？你的團(tuán)隊(duì)可以使用的內(nèi)部討論要點(diǎn)包括這些考慮因素：預(yù)定義的結(jié)構(gòu)和流程通常內(nèi)部聚焦，服務(wù)于組織結(jié)構(gòu)本身而非更廣泛的業(yè)務(wù)需求（例如無效的變更控制流程，管理層和工程師都對流程不滿意，看不到其中的價值，但流程仍未改變，開始充當(dāng)阻礙者而沒有增加太多價值）。在部門隔離的模式下，跨層級的溝通可能會緩慢且低效。信息從上到下以及從下到上流動緩慢。是否可以通過簡化流程或補(bǔ)充一些舉措，如共享安全責(zé)任（授權(quán)）、使用自動化工具進(jìn)行控制和度量，以及向管理層清晰報告有意義的度量數(shù)據(jù)（數(shù)據(jù)驅(qū)動的業(yè)務(wù)決策），來改善這一點(diǎn)。政策、規(guī)則和程序阻礙了戰(zhàn)略決策的快速制定。我們看到了去中心化控制的趨勢，借助自動化的安全“緩沖器”和個體責(zé)任，并通過更好的安全培訓(xùn)和諸如“安全冠軍”等計(jì)劃的支持。人們固守舊習(xí)，害怕失去權(quán)力和地位。如果我們反復(fù)依靠少數(shù)幾個可信賴的人來領(lǐng)導(dǎo)關(guān)鍵舉措，而非從更廣泛的利益相關(guān)者群體獲取意見，文化和進(jìn)步可能會受到抑制（這再次強(qiáng)調(diào)了授權(quán)和改進(jìn)溝通/協(xié)作的重要性）?？焖賱?chuàng)新和顛覆是否存在正當(dāng)?shù)臉I(yè)務(wù)需求，以及更高的風(fēng)險偏好，或者相反，業(yè)務(wù)需求是否更傾向于規(guī)避風(fēng)險或由合規(guī)驅(qū)動？安全團(tuán)隊(duì)往往與開發(fā)過程相距甚遠(yuǎn)，無法被視為合作伙伴；他們被認(rèn)為在周期后期介入，下達(dá)指令或要求更改，但對工程環(huán)境的實(shí)際情況沒有充分考慮。事實(shí)上，軟件安全領(lǐng)域的早期先驅(qū)者學(xué)到的最深刻的教訓(xùn)之一是，忽略開發(fā)者的成功需求是最快失敗的方式。在DevOps環(huán)境下，這一挑戰(zhàn)可能更為嚴(yán)峻，因?yàn)殚_發(fā)團(tuán)隊(duì)非常重視自動化和迭代的速度。乍一看，DevSecOps方法似乎將安全性完全集成到開發(fā)和運(yùn)營團(tuán)隊(duì)中，消除了對單獨(dú)安全組的需求。雖然這可能是許多人所期望的未來狀態(tài)，但實(shí)際上大多數(shù)組織都發(fā)現(xiàn)需要維持一個專門的軟件安全團(tuán)隊(duì)，以確保所需的專業(yè)知識并專注于安全問題。在實(shí)踐中，最大的組織挑戰(zhàn)是如何以支持所需安全文化特征的方式整合安全、開發(fā)和運(yùn)營團(tuán)隊(duì)的工作。在早期的軟件開發(fā)模型中，安全人員和開發(fā)人員之間存在著天然的緊張關(guān)系。安全人員通常認(rèn)為軟件管理在道德上是模棱兩可的，“現(xiàn)在發(fā)布，以后再修復(fù)”，而業(yè)務(wù)目標(biāo)只是實(shí)現(xiàn)構(gòu)建下一個更好的增量軟件版本所需的收入流。DevSecOps允許合并這兩種思維方式。安全成為產(chǎn)品的組成部分，用戶的安全和隱私要求成為明確的功能要求。這并不意味著使用獨(dú)立安全團(tuán)隊(duì)的組織注定要失敗。這也不一定意味著將安全完全納入發(fā)展是正確的做法。事實(shí)上，這兩種模式都有成功的組織。重要的是要考慮人員配置計(jì)劃和周圍的組織結(jié)構(gòu)圖支持或阻礙文化發(fā)展的方式，以便減輕任何一種方法帶來的任何挑戰(zhàn)。此外，這不需要是一場要么全有要么全無的討論。事實(shí)上，使用混合方法的勢頭越來越大，即使用安全冠軍來彌合安全與發(fā)展之間的差距。將安全冠軍帶到挑戰(zhàn)中安全冠軍是開發(fā)團(tuán)隊(duì)的成員，他們有權(quán)持續(xù)參與幫助指導(dǎo)和執(zhí)行日常安全活動。與可用性有限或受限的安全團(tuán)隊(duì)專家不同，安全冠軍可以可靠地支持開發(fā)團(tuán)隊(duì)級別的DevSecOps執(zhí)行和安全活動。許多組織發(fā)現(xiàn)安全冠軍計(jì)劃是擴(kuò)展其軟件安全工作的關(guān)鍵。此外，安全冠軍對組織文化有直接影響。事實(shí)上，他們經(jīng)常站在將集體安全責(zé)任社會化的任何努力的第一線，并有權(quán)在需要時將問題上報給安全團(tuán)隊(duì)和管理層。當(dāng)SAFECode努力比較其成員之間成功的安全冠軍計(jì)劃時，它發(fā)現(xiàn)它們有一些共同的特點(diǎn)。軟件安全需要一個冠軍——構(gòu)建和維護(hù)成功的安全冠軍計(jì)劃的簡短指南首先，安全衛(wèi)士的角色應(yīng)被視為主要職責(zé)，最好是全職或接近全職的工作。僅僅將已經(jīng)不堪重負(fù)的軟件開發(fā)人員標(biāo)記為新的常駐安全專家是不夠的。安全冠軍需要與更廣泛的安全團(tuán)隊(duì)密切合作，并能夠根據(jù)風(fēng)險優(yōu)先考慮安全問題。通過這種方式，它們是工程團(tuán)隊(duì)中上下文感知的安全驅(qū)動程序，也是安全團(tuán)隊(duì)的接口。其次，雖然安全冠軍最初可能需要在工程團(tuán)隊(duì)中擔(dān)任戰(zhàn)術(shù)安全職位，但目標(biāo)應(yīng)該是隨著團(tuán)隊(duì)安全知識的增長而發(fā)展他們的角色。安全冠軍不應(yīng)該為開發(fā)人員做安全工作，而應(yīng)該充當(dāng)培訓(xùn)開發(fā)人員的導(dǎo)師，這樣他們就可以自己解決安全問題，在需要時尋求額外的澄清或幫助。理想情況下，安全冠軍將與首席架構(gòu)師和利益相關(guān)者密切合作，擁有威脅和隱私模型，并成為由此產(chǎn)生的活動（識別安全相關(guān)功能、組件選擇等）的主要焦點(diǎn)。如果沒有這種心態(tài)，不僅難以擴(kuò)大其影響，而且安全可能會繼續(xù)被視為其他人的工作（在這種情況下是安全冠軍的工作），而不是每個開發(fā)人員的集體責(zé)任。第三，僅僅找到一個安全冠軍并告訴他們?nèi)ソ鉀Q安全問題是行不通的。要取得成功，安全冠軍需要一個正式的、管理層支持的計(jì)劃的支持，該計(jì)劃具有明確的組織和專業(yè)目標(biāo)，以及一個支持性的組織生態(tài)系統(tǒng)。這樣，安全冠軍計(jì)劃的成功與安全文化發(fā)展計(jì)劃的努力密切相關(guān)，因此許多組織應(yīng)該將其視為一項(xiàng)工作。至少，如果同時推行安全冠軍和文化發(fā)展計(jì)劃，就應(yīng)該一并考慮。通過安全意識和培訓(xùn)加強(qiáng)該計(jì)劃培訓(xùn)是任何成功的DevSecOps計(jì)劃的重要組成部分。事實(shí)上，鑒于安全開發(fā)實(shí)踐很少被納入軟件工程教育，它長期以來一直是軟件安全領(lǐng)域的一個重點(diǎn)。CSADevSecOps工作組認(rèn)為培訓(xùn)是必不可少的DevSecOps規(guī)劃的支柱，正在制定更詳細(xì)的指導(dǎo)方針，稍后分享。SAFECode在其最新版本的《安全軟件開發(fā)基本實(shí)踐》【3】中還談到了培訓(xùn)的重要性，指出“整個組織都應(yīng)該意識到安全的重要性，必須為開發(fā)團(tuán)隊(duì)提供更詳細(xì)的技術(shù)培訓(xùn)，明確闡述個人和團(tuán)隊(duì)的具體期望。”雖然為直接負(fù)責(zé)實(shí)施安全開發(fā)方法的人員提供詳細(xì)技術(shù)培訓(xùn)的必要性是相當(dāng)明顯的，但許多組織在意識培訓(xùn)工作中可能沒有接觸到足夠廣泛的受眾。為了使DevSecOps取得成功，整個團(tuán)隊(duì)——架構(gòu)師/設(shè)計(jì)師、技術(shù)作家、項(xiàng)目經(jīng)理、開發(fā)工程師、服務(wù)和質(zhì)量保證（QA）工程師、IT運(yùn)營等——都應(yīng)該具備扎實(shí)的基礎(chǔ)安全知識。培養(yǎng)對安全重要性和每個團(tuán)隊(duì)在安全方面所扮演的具體角色的認(rèn)識，對于建立支持安全的文化至關(guān)重要?？紤]其他形式的外展活動，如午餐和學(xué)習(xí)課程、與安全專家安排的開放時間以及安全指導(dǎo)計(jì)劃。安全的游戲化也越來越受歡迎，作為一種讓安全知識更加觸手可及和引人入勝的方式，可以通過在外展組合中添加定期的黑客馬拉松來實(shí)現(xiàn)。據(jù)了解，培訓(xùn)課程和外聯(lián)活動的時間有限，因此組織者一定要提供一種方法來獲取參與人數(shù)，并收集參與者和外聯(lián)負(fù)責(zé)人的反饋。這些評估將有助于確定最受歡迎和最有影響力的外聯(lián)活動，以便可以復(fù)制，而不太有用的活動則可以放棄。此外，考慮如何利用其他現(xiàn)有的團(tuán)隊(duì)和面向同行的活動來進(jìn)一步建立安全意識和發(fā)展安全專業(yè)知識。已建立的開發(fā)方法，如對等編程和配對，可用于安全代碼審查。如果定期使用bug抨擊，可能有機(jī)會邀請一個通常不會參加此類活動的額外團(tuán)隊(duì)參與。威脅建模應(yīng)該已經(jīng)作為一項(xiàng)團(tuán)隊(duì)活動進(jìn)行，包括多個角色。重要的是要確保這些會議的參與率保持較高水平，不會因日程安排問題而犧牲。威脅建模會議也可以戰(zhàn)略性地?cái)U(kuò)展，以包括傳統(tǒng)上可能不會被邀請的其他人，以增加安全利益。值得注意的是，那些喜歡并在威脅建模課程中表現(xiàn)良好的人通常是安全冠軍和其他安全外展角色的優(yōu)秀候選人。最后，考慮除了安全意識和技術(shù)之外的其他技能是否有助于提高安全計(jì)劃的影響。例如，提供一組已識別的安全影響者或者接受過領(lǐng)導(dǎo)力培訓(xùn)的安全冠軍可能會提高他們在團(tuán)隊(duì)中的效率。提供演示培訓(xùn)的機(jī)會可能會鼓勵其他人挺身而出，自愿領(lǐng)導(dǎo)內(nèi)部棕色袋子會議。雖然培訓(xùn)計(jì)劃和外聯(lián)活動的確切組合因組織而異，甚至可能因團(tuán)隊(duì)而異，但在文化發(fā)展計(jì)劃的背景下，對這些舉措采取整體和全面的方法非常重要。這并不一定需要采用集中的方法來規(guī)劃培訓(xùn)和外聯(lián)計(jì)劃。事實(shí)上，有時，當(dāng)在團(tuán)隊(duì)層面確定需求并采取行動時，外聯(lián)工作可能是最有效的。然而，了解整個組織正在做什么很重要。這不僅有助于確保培訓(xùn)和外聯(lián)保持相關(guān)性和影響力，但也將確定執(zhí)行中的差距，優(yōu)化資源，為其他領(lǐng)域的工作提供信息，并為培養(yǎng)安全文化提供額外的機(jī)會。計(jì)劃持續(xù)運(yùn)維與成效評估制定監(jiān)視和報告策略是DevSecOps規(guī)劃的一個不可或缺的元素?？刹僮鞯闹笜?biāo)通過度量進(jìn)度和及時檢測故障來啟用DevSecOps計(jì)劃。度量是DevSecOps的重要組成部分，它也是CSA-SAFECodeDevSecOps工作組確定的DevSecOps4，并且是即將發(fā)布的指南的主題。因此，本文不會嘗試涵蓋DevSecOps度量和報告實(shí)踐的全部范圍。但是，它將解決兩個與文化相關(guān)的關(guān)鍵度量問題如何度量文化驅(qū)動的內(nèi)容度量像文化這樣無形的東西的挑戰(zhàn)首先必須認(rèn)識到，公司的度量標(biāo)準(zhǔn)會驅(qū)動其行為方式。這樣，組織選擇用于監(jiān)控其DevSecOps計(jì)劃成功的指標(biāo)將對其安全文化產(chǎn)生直接影響?？紤]到許多組織將激勵措施直接與項(xiàng)目績效指標(biāo)掛鉤，度量與行為之間的聯(lián)系變得更加明顯。例如，如果生產(chǎn)時間是唯一重要的指標(biāo)，那么幾乎沒有動力去放慢速度來解決已識別的風(fēng)險。或者，如果最有價值的指標(biāo)側(cè)重于功能交付而不是質(zhì)量，那么這可能會促使組織生產(chǎn)被未來技術(shù)債務(wù)和推卸責(zé)任的文化所淹沒的軟件。相反，如果優(yōu)先考慮有意義的質(zhì)量指標(biāo)，那么就更有可能創(chuàng)造一種豐富的產(chǎn)品owner文化和著降低的遞延債務(wù)水平。當(dāng)集體責(zé)任得到適當(dāng)實(shí)施時，所有安全例外都必須在執(zhí)行級別具有一定程度的明確問責(zé)制。安全指標(biāo)不再只是用于衡量安全程序的性能/有效性。鑒于安全性在文化和技術(shù)上都嵌入到DevSecOps中，因此每個人都參與檢測和收集安全指標(biāo)，并共同擁有和跟蹤安全性能。此外，組織文化從來都不是一成不變的;它會隨著組織的發(fā)展而改變，而最初推出DevSecOps時有效的方法可能不如項(xiàng)目成熟時有效。安全和開發(fā)實(shí)踐也在不斷發(fā)展，可用于支持它們的工具也在不斷發(fā)展，這反過來會影響DevSecOps運(yùn)營的環(huán)境并創(chuàng)造文化變革。正如沒有一種單一的方法來構(gòu)建支持安全文化一樣，今天有效的方法可能與明天有效的方法不同。在衡量計(jì)劃有效性、識別失敗點(diǎn)并確保實(shí)現(xiàn)持續(xù)改進(jìn)所需的任何變革的過程方面，必須有一個精心設(shè)計(jì)的方法。擁有強(qiáng)大的衡量計(jì)劃將有助于指導(dǎo)任何保持高管的支持是長期項(xiàng)目維持的基本要素。衡量文化發(fā)展計(jì)劃影響的能力將使安全團(tuán)隊(duì)能夠向高級領(lǐng)導(dǎo)者提出更強(qiáng)有力的商業(yè)案例，以繼續(xù)組織對這些活動的投資。毫無疑問，衡量像文化這樣無形的東西會帶來挑戰(zhàn)。使用的具體指標(biāo)將取決于組織的不同目標(biāo)。例如，一個專注于確保管理支持工程工作的文化計(jì)劃可以衡量在計(jì)劃推出之前和之后請求的風(fēng)險異常數(shù)量。如