安全領(lǐng)域也如此，比如漏洞評估，用代碼推送來調(diào)度靜態(tài)代碼審查，部署工具對海量錄入數(shù)據(jù)進行更快捷的檢測和更有效率的反饋。然而問題及挑戰(zhàn)在于，盡管人為產(chǎn)生的問題集合可在自動化的幫助下解決大半，卻永遠不能僅僅依靠自動化本身徹底解決。

生產(chǎn)一件產(chǎn)品或進行一項業(yè)務(wù)的過程，連同那些支持這項產(chǎn)品或業(yè)務(wù)的系統(tǒng)，基本上而言，是創(chuàng)造性的。生產(chǎn)過程背后的人，及人類創(chuàng)造性中的優(yōu)勢和弱點都深深的烙印在過程核心中（有趣的是，發(fā)現(xiàn)漏洞并構(gòu)建和執(zhí)行惡意攻擊的過程也是創(chuàng)造性的）。

盡管我們可以將相同的創(chuàng)造性應(yīng)用自動化上，使之更加完美。但最終，計算機只是按人類的指令行事，進行重復(fù)性、大規(guī)模的廉價勞動。我們現(xiàn)在用于發(fā)現(xiàn)業(yè)務(wù)漏洞的自動化過程和工具已經(jīng)達到了一定的程度，剩下的工作則需要人的介入。

無法避免的是，自動化會形成“安全盲點”，而后者同樣也是惡意攻擊者關(guān)注并為之努力攻克的地方。

摩根大通與塔吉特信息泄露事件就是當(dāng)自動化偏離軌道時會呈現(xiàn)的樣子。兩起事件中，攻擊者所用的最初入口點——一個臨時web服務(wù)器和面向外部的空調(diào)供暖系統(tǒng)（HVAC）控制入口，都是應(yīng)該被認定為有風(fēng)險并進行修復(fù)的。然而，兩起事件中，這些系統(tǒng)最終都淪為了自動化盲點的犧牲品。

心臟滴血和Shellshock漏洞在源代碼中已存在多年，期間歷經(jīng)無數(shù)次代碼審計，卻依然存活，直至最終被人發(fā)現(xiàn)并利用。

自動化過程和自動化工具能幫我們做很多事。如果考慮“二八法則”，自動化絕對是將我們帶到80%價值那端的原因。但不管自動化帶來的價值是80%還是更多，最終總會遇到“收益遞減規(guī)律”接管的拐點（見圖中1號），我們在增加或改進自動化上的投入產(chǎn)出便開始逐漸減少，直至趨于水平。

每個軟件，每套系統(tǒng)，每個平臺都會有安全漏洞。那么，我們能對那20%作些什么呢？我們該怎樣解決這些“安全盲點”（見圖中2號）呢？

正如企業(yè)可以享受自動化帶來的效率提升，攻擊者也同樣可利用相同的自動化技術(shù)提高攻擊效率。畢竟，沒人想把時間和金錢花在突破已經(jīng)修補好的漏洞上。攻擊者認為你可能沒注意到的地方，就是他們努力的方向。他們不會停止自動化的腳步，他們甚至?xí)谌肆Y源上下功夫，以推動攻擊水平向更高等級發(fā)展。在攻擊方看來，有很多人身懷各種各樣的技能，被各種不同的動機驅(qū)動（不僅僅是錢），還有一套基于追求結(jié)果的激勵模式。

但這并不是說，在我們的自動化套件之上還需要外聘1000個白帽子來幫你排查各種系統(tǒng)。對大多數(shù)公司而言，這是很不實際的。當(dāng)你招募或外包工作給安全專家時，他們應(yīng)該為防御和培訓(xùn)服務(wù)，并將評估結(jié)果的剩余價值驅(qū)動起來供下至工程團隊上至管理層所用，發(fā)揮他們的持續(xù)性影響。這些專家將會幫助彌補差距縮小空白（見圖中3號）。

剩下的空白（見圖中4號）是那些真正糟糕的東西所在，那些黑客能找到而高薪聘請的專家發(fā)現(xiàn)不了的東西。

這里，就是眾測需要隆重出場的地方。在這個領(lǐng)域，人類本身也融入了自動化之中。通過利用績效薪酬模式，以及通過眾測凝結(jié)安全社區(qū)的集體創(chuàng)造力，可以將人力資本以一種低成本高效益的方式發(fā)揮出來，進一步縮短自動化能力和人類專家能力間的差距，達成想要的最高安全級別。

最后，我們需要注意的是：不要想當(dāng)然地認為自動化就是萬能的。這么想的話只能把自己陷入危險的安全盲區(qū)之中。相反，我們應(yīng)該運用眾人的智慧，讓一組能體現(xiàn)人類效率的高水平安全測試員來縮小差距，那些潛在攻擊者惦記的就是這一差距，他們不只追逐那些能被自動化工具和市場上售賣的商業(yè)工具輕易發(fā)現(xiàn)的漏洞。而且，即使他們使用這些工具，也一定不會是跟你一樣的方式。他們會關(guān)注那些你容易忽略掉的地方，他們也想快速有效地突破防御。