文章总结： 文章讨论了安全项目成功的关键因素，强调管理、技术和运营三个维度共同决定项目成败。作者以SCA项目为例，说明即使在技术水平一般的情况下，通过管理层的强力支持和合理的运营策略，也能成功落地安全项目。文章提出任一维度的显著优势都可以弥补其他维度的不足，并给出了不同情况下的应对策略。 综合评分： 87 文章分类： 安全建设,安全运营,应用安全,安全管理,解决方案

安全项目的成功由管理、技术和运营三者共同决定

原创

楼兰2333

楼兰学习网络安全

2025年12月13日 15:50 北京

好久不发文了，过去两年是我最充实的两年，未来一段时间会进行陆续分享，分享这两年的一些心得与经验。

在我看来一个安全项目能否落地成功由【管理】+【技术】+【运营】三者共同决定

任一维度的显著优势，都可以弥补其他维度的相对不足，最终实现安全项目的成功

这个理念，在我落地SCA项目时，让我感受最深。

SCA里面有一个称为”可达性”的概念，按技术成熟度分为了5个级别；你能识别出代码工程将漏洞组件引入了，这是L1水平，在此基础上，如果你能识别出代码工程同时调用了漏洞函数，那么可以认为L3水平。

越先进的水平自然可以让你达到越好的降噪效果，当你要治理fastjson的漏洞时，如果你只有L1的水平那么你可能需要面对500个代码工程需要整改，当你有L3的水平时你可能只需要面对50个代码工程。

历史原因我们引入了一个可达性级别是L1的商业产品，24年，老板让我发挥它的价值“在现有能力的基础上落地”。

我特地去跟老板达成了最重要的共识“漏洞组件引入便治理”的安全标准，最后顺利完成存量治理、自动化流程的构建。期间，老板也是一直支持一直扛着来自各业务研发部门的压力。最终我们整改完成了2000+个漏洞组件，确定了SCA的安全基线——33个必修组件（原本是36个，在执行阶段排除掉了3个）。

这个案例非常典型，【管理】层面优势显著，老板一个人抗住了来自十多个业务部门压力，【运营】层面整个应用安全只有我一个人来做，【技术】层面我们没有优势，很普通的技术水平，但是由于管理层面的显著优势，我在技术上达不到这样先进也一样可以落地成功。

换个思路来考虑，如果你们公司在【技术】层面可以判定引入了漏洞版本也调用了漏洞函数，那么【管理】层面便可以让步到“函数引入便治理”的安全标准，这一样可以落地成功。

最后，如果你们【技术】、【管理】层面都没有显著优势，那么想到落地成功，那么只能堆人了，从【运营】层面来努力。

我做了一个知识星球，用来记录我对企业安全努力的痕迹，欢迎大家加入！

查看原文：《安全项目的成功由管理、技术和运营三者共同决定》