对于一个不知情的外行人来说，一个企业的IT组织看起来是一个相当和谐的，通常由那些诡计多端的，时髦的，并且技术高超的天才组成的。而IT内部人士会同意这个观点的大部分地方，除了和谐这个字眼。而实际上，IT部门更像是一个沸腾的锅炉，充满了许多相互之间的竞争以及许多极不相同的人格特征。在这个圈子的一端就是程序员，即信息产业最终的艺术家。而另一端是信息安全专家 －也就是公司秘密的看家狗。这些人很少能够看得起对方。而本文的主旨就是勇敢的冲着信息技术两个相互割据的世界而来的。

开发者是创造者，是他们开发了应用程序来使我们的生活变得更容易。当然，他们打交道的是冷冰冰的编译器，虚拟机，以及字节代码，但是他们内心深处的真实情况是他们拥有诗人的灵魂。他们沉湎于给程序带来生命的创造过程。普通人看到的可能是毫无意义的Java命令，而开发者却看到了一个可爱的软件生命的开始。

对于开发者来说，规则应该被打破而权威则理所当然的应该被挑战。在下班以后，他们更有可能跳上的是一辆哈雷机车而不是坐公交车回家。他们还会去一些流行的聚会喝酒并与他们的黑客朋友交换他们的故事。他们吃的是异国的食品，穿的是奇怪的衣服，在身上纹上大胆而醒目的花纹，以完全颠倒的方式生存－打住，我也许有些离题了，但你已经有了大概的了解。

相反的是，信息安全部门的人则高居在IT界之上，不停的监视这个自动化的世界以确保没有发生什么异常。为什么？因为如果平安无事，那么就不会在安全上冒什么风险。这些男人和女人对于他们本应该享受的生活采取的是逃避的方法。他们是那么的紧张以至于他们在走路的时候都会发出尖叫声。他们理想的好日子是玩玩“吃豆子”然后追击Ritz黑客最后击掌相庆。他们唯一熬夜的时候是当他们担心在某个地方出于某种原因，某人在拿技术开玩笑。

如果Ebeneezer Scrooge（守财奴）今天还活着，那么毫无疑问他将成为安全行业一位值得尊敬的从业者。 两边的相处状况
好的，你现在可以想象这两种类型的人如何相处了。通常，开发者阵营的人会这么说：“好的，不论你做些什么，不要告诉安全部门任何东西。他们对于他们不知道的东西是不会善罢甘休的。我们只是开发这个应用程序然后在它投入运行之前以生米煮成熟饭的方式提交给安全部门审查，如果安全部门敢说些什么，那么我们就会说这是一个核心业务的应用程序然后把CIO或者CEO抬出来让这个程序及时的生存下来，以达到时间期限。”

同时，在守财奴这一边，他们的对话会象下面这样：“我们知道开发者们要做一些麻烦事了。他们近来总是说悄悄话而且在奇怪的时间里召开秘密的会议。让我们来看看我们能否搞清楚他们在做些什么。如果是一个应用程序，让我们闯进去并问他们许多他们不可能知道答案的关于审计的问题，然后他们就会向我们索要根本就不存在的文件。如果他们不能提供答案，我们就能够把他们报告给CIO或者CEO来羞辱他们并抬出架子把安全性加进应用程序里去。

大家有必要搞得这么紧张么？在雇佣的合同书里面难道说过开发者和安全部门的人一定要处于永久冲突的状态么？难道没有其它可行的选择么？

合作才能生存

是的，这儿确实有一个可行的方法。它的名字叫做为了生存而合作。今天的商业比以往更注重技术，因为更好的，更快的和更便宜的技术将直接变成竞争的优势。没有便利的应用程序，企业将无法生存，这对于能够在不久的将来重新定义商业过程的电子商务应用程序来说尤其如此。 但是应用程序也越来越变得脆弱，可以通过简单的安全漏洞而被黑客利用。正在每一天都可以在一家公司的安全公告栏上看见诸如溢出攻击，跟踪推测攻击或者是一个应用程序中的加密算法有误等内容。这看起来好像是我们越精通使用今天花哨的开发工具开发应用程序，这些应用程序就越不安全。这是一种很不好的现象，因为安全性是电子商务过程一个有力的保证。 那么，我们应该做些什么呢？一个明显的解决办法就是开发者和安全人员更加紧密的合作。而问题是，一个企业如何让这两种截然不同的人凑到一块儿来呢？

对于安全性的答案来说，企业应该在这个方面招募更多的程序员。这与传统的安全团队配置的方法有些不同，传统的配置方案倾向于招募有网络操作背景的人。那是因为在过去，关于安全性的考虑主要集中于网络的安全性--也就是诸如管理访问控制，口令，加密和保证服务器配置的安全等等--而不包括应用程序的安全性。应用程序安全性处于企业安全性的底层，这个现象应该被改变。 教授一个开发者安全方面的知识比起教授一个安全人员如何编写程序要容易多了。这并没有反映技术的复杂度而是展示获取开发者的信任有多么的重要。当两种技术人员在碰面的时候--这对于开发者来说尤其是这样--当其中一种技术人员开始企图在自己已知的方面胜过另一方的时候，气氛就会变得狂暴，不屑的氛围油然而生。他们最初的谈话听起来就像是他们用上了他们所知道的一切高科技词汇，将这些词汇玩弄于唇齿之间，而所有从他们嘴里说出来的东西都是他们自己的原创。而一个安全人员则不会用他们知道的如何进行访问控制的晦涩难懂的技术来压迫一个开发者--这种谈话必须成为对于编制应用程序有经验的，实际的交流。这只有在安全人员有实际的编程经验的时候才是可能的。

不管怎样，这种办法是有用的。如果信息安全组织对于开发人员下的指令是合理而富有学问的话，那么开发者们可能就愿意放下他们的架子来询问有关应用程序安全性的问题。而且会更令你吃惊的是，信息安全人员甚至有可能对开发的过程起到一个促进的作用。那么这就真正打破了两个团队之间的界限。