正如我最初在另一个问题中评论的那样，安全性不能是主要问题，甚至不是主要问题。有时，在启动的某些阶段，您确实需要专注于快速开发驱动产品所需的功能，并在必要时修补安全性。安全性很容易阻碍运营、员工生产力并减缓开发速度。尽管如果您的产品或业务是与安全相关的产品或业务，那么您肯定从一开始就需要防弹安全性，但您确实不能一概而论并说所有业务都应该从一开始就关注安全性。（索尼足够大，新世纪的软件开发需要吸取很多教训，而不仅仅是安全。）

也就是说，安全实践和实际安全应该是所有技术员工心中的一个因素。在不妨碍人们的情况下，您可以在哪里增加安全性？没有 100% 安全这样的东西，那么多少安全性才足够呢？

是否存在对延迟安全的重大挑战？不，我不这么认为。除非该行业受法律监管。

这就是为什么信息安全有时类似于风险管理的原因。您尽最大可能将风险降至最低（这通常意味着在预算范围内），但您并没有完全消除它。

因此，延迟安全是一种接受风险的形式。希望这种接受只会持续很短的时间，因为当高管们这样做时，他们实际上是在向未来借钱。当到期日到来时，好吧，让我们说它会令人尴尬，混乱，有时甚至是毁灭性的。

可以从 Veracode 中找到有关这种思路的更多信息：

http://www.veracode.com/blog/2011/02/application-security-debt-and-application-interest-rates/

http://www.veracode.com/blog/2011/03/a-financial-model-for-application-security-debt/

我同意行政人员的意见。如果你看一下由于安全漏洞而失败的初创公司的数量，以及由于失去第一名而失败的初创公司的数量，我认为很明显后者远远超过前者。

创业公司都是为了冒险获得巨大的胜利。创业失败的方式有很多。说我们接受创业公司因安全漏洞而失败的小概率并不是什么大问题，如果这样做的好处是我们可以显着降低创业公司因其他原因而失败的风险。

我认为这位高管提出了一个合理的策略：他说，我们现在接受一些安全债务，以换取更快地到达终点线。这将使公司在以后付出代价：公司要么必须在以后通过重新架构/重新实施其系统来偿还安全债务，否则公司以后将面临严重安全漏洞的巨大风险。但许多初创公司会欣然接受这种权衡。“以后付款，如果创业公司大获成功”可能会胜过“现在付款，并可能使创业公司失败”。

这是我的建议。与其试图让高管改变主意，我建议你做两件事：

• 灌输“担保债务”的概念。准备好基础工作，以便如果公司成功，您稍后将支持偿还安全债务并提高公司系统的安全性。

• 现在，专注于不会减慢公司达到终点的能力的廉价安全机制。我说的是防火墙、自动更新、备份等简单的事情。此外，您可能会集思广益，开发更复杂的安全解决方案或与团队的开发工作并行的设计，因此它不会减慢其余的团队——假设公司可以为你省去这种努力。

寄生虫不仅会破坏您产品/服务的潜在收入来源，还会破坏您早期的品牌/声誉，并破坏您推销产品/服务的能力。它们会破坏您的 SEO、AdWords 和类似的网络营销概念——这些概念对于建立您的在线形象是必不可少的。

攻击者通过僵尸网络和其他形式的自动化自动化对网站的寄生感染——使每个网站都成为潜在目标，尤其是那些处于启动模式的网站（因为它们通常依赖于第三方托管/CMS/博客/论坛/电子商务包、组件、服务等）。