Netflix Blog- Netflix的应用安全

这篇文章 Scaling Appsec at Netflix  是出自 Netflix Technology Blog

Netflix的 应用安全团队的主要服务对象是在云基础架构上发布应用的工程团队，

Netflix安全主张：安全是每个产品团队的责任

Netflix安全团队工作主要分为三类：

• 应用安全运营功能：传统的AppSec活动： BUG赏金分类，测试， 威胁建模，漏洞管理，产品安全。
• 安全合作伙伴关系：推动整体安全改进降低风险。
• 应用安全自动化：构建全面的应用程序库并启动自助安全指导。

运营Appsec功能由于存在高度中断，非持续性，过去的几个月，团队进行了重组，分为自动化和合作伙伴小组两个团队。

          APPsec自动化队目标是提供 一致，可操作， 自我服务，为开发提供指导。通过Spinnaker 的平台，为开发人员提供单一的视图提供相关操作， 确保应用安全。   安全工作从过去的使用一些传动的DevSecOps方法如：静态代码扫描，动态测试，反模式grep， 转变为使用自动化方式提供自助服务。

          合作伙伴小组更关注于与具有高风险的工程和产品团队（例如支付工程）密切合作， 目标是确定安全风险领域， 专注于更大的战略举措从而降低风险。

          团队的最终目标是退出运营职责，将工作重点放到自动化和合作伙伴两种工作模式上。