如何改善软件产品的安全问题，宜人金科有几点建议

随着大规模的自主应用开发，软件安全问题变得更加严峻并且难以控制，因此软件安全成为企业整体安全的短板。一般而言，安全是软件产品的基础，对于金融软件产品而言，安全尤为重要，因为客户总是能够从各种安全漏洞联想到他的金融资产安全和个人信息安全。

在宜人金科看来，当前产品驱动安全之所以推进困难，其中很重要的一点是跟产品经理安全意识淡薄、不清楚如何推进产品安全建设有关，比如不重视产品安全属性、产品安全建设无从下手等。

宜人金科认为，产品驱动安全并非意味着产品经理单一角色推动产品的安全建设，而是说产品经理主动承担相应的产品安全责任，主动与安全部门一起推动产品的安全建设，由安全驱动产品的单轮驱动转变为产品驱动安全的双轮驱动。

想让开发人员了解并且关注软件开发安全，宜人金科建议，建立一套合适的安全人员培训体系。与信息安全培训不同，安全人员培训侧重在软件开发安全的意识理念和技术能力方面，其中的意识培训板块包括了软件开发安全的基本知识，开发流程与典型的实践，还有一些国家法律法规以及行业标准层面的信息。除了软件安全意识培训外，还有相应的技术能力培训，其中包括安全编码的能力、代码审计能力、威胁建模能力等。

产品经理对产品安全负有责任，通过明确产品安全需求中的白名单指明产品安全目标，通过制订安全研发计划、推动团队安全能力建设和协调周边安全资源，实现产品安全落地。不过，在宜人金科看来，实现企业软件产品的安全建设，需要产品经理与其他部门多交流，团队协作，效果更理想。