cissp

security champion

security champion一词可以翻译为安全冠军、安全捍卫者、安全倡导者、安全倡导者。本文暂译为安全倡导者。

由于一般组织中安全专业人员与开发人员的比例较小，仅靠安全团队往往无法弥补开发人员缺乏安全经验的不足，也无法为开发人员提供所需的全面安全覆盖。
这时就需要在每个开发团队中选择安全倡导者来帮助弥补这一差距，通过安全倡导者向开发团队成员宣传、管理和加强安全态势，让您的开发团队成为安全团队的扩展成员。

安全倡导者的责任

1、持续的了解安全。 知识是成为安全倡导者的关键，安全倡导者需要接受持续的培训，以跟进最新的实践、方法和工具，然后向安全团队分享这些知识。

2、传播安全最佳实践。提高并保持与开发团队有关问题、威胁的持续安全意识，回答安全相关问题。

3、协助安全团队。对安全问题进行扫描，并作为对接人将问题上报给安全团队审查，帮助进行质量管理和测试。这将使他们能够参与风险和威胁评估的过程，以尽早确定和纠正安全问题。

4、获取和维护认可。开发团队开发项目一般都有项目的固有特性和开发语言，安全倡导者可以通过以他们理解的方式沟通安全问题来获得同事的认可，从而在SDLC早期在产品的开发中涉及到相关安全。这提高了开发的效率和开发的产品的有效性，同时加强了不同功能团队之间的关系，最大限度地减少了后期安全测试的瓶颈，因此您的安全团队可以专注于其他关键任务。

5、协作——与其他安全倡导者和参与者建立联系和合作，参加每周会议，分享想法和技巧，同时协助安全团队做出安全决策。