财力雄厚的公司都有一些共同点，比如在公司运行应用安全程序方面紧缩预算。一位前首席信息安全官（CISO）表示，无论预算是多少，如果该项目没有正确的领导者，软件修复肯定会遇到组织上的问题。

　　“你不能仅靠一支应用安全专家组成的团队，让他们进行调整，修复，然后编译一切，”451集团的企业安全实践的高级分析师Wendy Nather这样说道，“在修复的一系列过程中，有太多地方容易出错，且大多数都是组织上的问题。”

　　Nather曾管理过Texas教育机构的IT安全项目，并在上周SOURCE Boston安全会议上分享了她监管漏洞修复的经验。Nather的会议主题：建设鲁贝戈德堡（Rube Goldberg）应用安全计划，描述了做一个简单的修复项目会怎样经常遭受到复杂的组织问题和工程开发问题。

　　主要组织在整个行业内推动应用安全改善的计划已陷入了组织问题。极力赞扬安全开发生命周期（SDL）的微软，在其最近的年度SDL进程报告中表示，他们的应用安全项目初期也是很挣扎的。2002年，当微软临时停止.NET框架通用语言运行库（.NET Framework Common Language Runtime，.NET CLR）的开发，转而集中在编写安全代码上时，他们用了十周的时间修复了几十个漏洞。公司面临着“艰巨的后勤方面和技术方面的挑战”，但他们将所学的应用在了Windows Server 2003的开发中。基本的代码是.NET CLR的十倍。报告中写道，“Windows部门的组织规模和复杂性也导致了对技术依赖的增加，但工艺创新不断浮现，”。

　　“随着时间的推移，我们所做的事情已不仅是技术过程上的结合，而且是文化变革过程中的结合。”微软的软件安全工程团队的David Ladd，在近期SearchSecurity.com的采访中这样说道。“当你开始谈论关于加强安全的做法时，会给组织带来很大的影响，技术方面的东西往往很容易处理，而文化转变方面的问题则更具挑战性。”

　　Nather的介绍中，她描述了一个公共部门项目，其中包括一个应用程序（至少有十年）的数十个的代码修复任务。她表示，ASP和.NET中的单点登录应用程序“对环境非常重要”，“这个问题和设法修复都是非常关键的，因为有很多其他应用程序依赖于它。”

　　虽然技术人员将修复周期变为六周，但该项目最初由于资金不足，未能获得具有较强开发能力的技术人员，而陷入停顿。此外，该组织的QA（质量保证）团队有很多要求。几十个编码错误中的每一个错误都需要被映射，记录并给出业务原因。几个月来，“我们和QA团队在修复方面争吵过很多次，”Nather表示，“他们希望每一个跨站点脚本的实例都有一个追踪指数。”

　　QA团队必须做一个代码生成，才能够批准推然后生产出来。最终，该小组批准了一项简化追踪过程，但用了一年多的时间才实施了修复，Nather补充说。

　　Nather认为，CISO们和其他经理需要参加更多的培训来学习项目管理和业务流程工程。当想要提高软件安全性时，这些技能是无价的。

　　“需要大量的工程去设置一些东西，这样才能按照你计划的进行，”Nather说道，“你必须了解环境，将所有的事情正确排序。这部分和技术一样重要，而这是很多人都不会的。”