风险自适应阻力：在 CI/CD 中设计以人为本的安全控制

Source: Dev.to

Introduction: The Click‑Through Syndrome

安全团队常常认为摩擦等同于安全。

实际上，静态摩擦会导致自动化和疲劳。

当工程师每天要批准数十次部署时，批准行为会变成肌肉记忆。这个动作失去了意义。攻击者会利用这种常规。

这种现象——点击通过综合征——并非用户错误，而是静态安全用户体验的可预见失效模式。

本文探讨风险自适应摩擦：即安全摩擦应随被授权操作的风险而变化的理念。

Why Static Friction Fails

• 每一次部署都需要相同的批准。
• 每一次操作消耗相同的认知努力。
• 每一个警告看起来都一样。

人类会适应静态摩擦。一旦习惯，摩擦就不再是控制手段，而成为背景噪音。

攻击者会把恶意行为的时机安排在常规之中。这就是为什么钓鱼邮件在繁忙时段更有效，也为什么恶意部署会隐藏在正常部署之间。

Security as Human‑System Design

安全不仅仅是密码学；它还是人机交互。

如果你的安全控制假设人类注意力是完美的，它必然会失效。人类注意力具有以下特性：

• 有限
• 受情境影响
• 在疲劳和紧迫感下会下降

安全系统必须为真实的人类设计，而不是为理想的操作员设计。

Risk‑Adaptive Friction

风险自适应摩擦会根据情境改变批准行为。

低风险操作

• 最小摩擦
• 快速批准

高风险操作

• 有意的摩擦
• 冷却期
• 强制审查
• 多方授权

这样既保留了日常工作的可用性，又把认知资源留给危险操作。

Signals That Actually Matter

CI/CD 中的风险评分应考虑以下因素：

• 代码变更速率
• 依赖项变动
• 时间异常
• 文件关键性
• 作者行为模式

这些信号与真实世界的事件相关联，例如大规模依赖更新、深夜紧急部署、认证逻辑的更改以及突发的速率激增。

风险评分并非预测，而是对情境的放大。

Cooling Periods as Security Controls

冷却期引入时间上的摩擦：

• 打破紧迫偏差
• 干扰攻击者的时机
• 为反思提供空间

许多泄露发生在紧急情况下（“立刻打补丁，否则就暴露了”。）。冷却期可以防止因慌乱而进行的部署成为攻击向量。

Duress as a Threat Model

安全系统常假设参与是自愿的。这在受到身体胁迫时并不成立。工程师可能会被威胁、敲诈或强迫。

如果你的系统把所有批准都视为自愿的，它就对这一真实的攻击类别视而不见。具有人本意识的安全会把胁迫视为有效的威胁模型，并设计隐蔽的信号通道。

Why Frameworks Ignore the Human Layer

大多数 CI/CD 安全框架关注的层面是：

• 构件层面
• 流水线层面
• 产出溯源层面

它们并未建模：

• 人类疲劳
• 胁迫
• 认知超负荷

这在系统中最高风险点——人类授权时刻——留下了盲区。

Conclusion: Security That Respects Human Limits

静态安全控制在动态的人类行为面前会失效。

风险自适应摩擦接受人类的局限，并围绕这些局限进行设计。

CI/CD 安全的未来不仅是密码学的正确性，更是对抗敌对压力下的人体工学考量。