文章讨论了在中小型互联网企业中实施SDL流程面临的挑战,如业务团队对安全的忽视和高层不重视。建议首先制定SDL标准,加强宣贯和高层支持,特别是获得CTO的支持。克服阻力的方法包括建立信息安全委员会,制定奖惩制度,以及通过法规和案例提高意识。此外,文章强调了前置工作的重要性,如编写指南,建立SDLC平台,以及安全工程师在不同阶段的角色,包括需求评估、威胁建模、静态代码扫描等。
将SDL流程从0-1落地是非常艰难的一件事,重点还是在于除安全人员之外,公司其它人员不够重视SDL,甚至不知道SDL。所以在开始SDL建设的时候,第一步应该编写好SDL标准,标准不涉及具体的技术细节,只是要让公司业务侧人员知道软件开发的各个阶段都应该进行安全活动,而并非总是完成开发后找到安全工程师进行安全测试。而要业务侧人员都参与到SDL活动中来,这离不开积极的宣贯、高层的支持。
sdl阻力与克服
说实话,从我个人经历来讲,sdl最大的阻力还是在于高层不够重视,所以在进行宣贯的时候业务侧有些人不积极配合,或者随意应付,并没有把这个事情放在心上。
sdl流程的落地应该让高层重视起来,在中小型互联网企业至少应该得到CTO这一层的大力支持。如果CTO无法支持,那么开展SDL会非常的困难,毕竟安全团队和业务团队没有利益绑定,相反业务团队参与SDL可能会影响到自身的利益,最常见的就是业务侧参与安全活动导致业务无法在预定的时间上线。
如何克服SDL落地的阻力?
- 治标:积极主动的去和业务团队沟通,和业务团队老大打好关系(软技能),偶尔请人家团队吃个饭,有事没事找人家唠唠嗑无意中灌输安全非常重要的思想。
- 治本:得到技术负责人(CTO)的大力支持,建立信息安全委员会,制定相对应的奖惩制度;如何得到技术负责人的大力支持,这又是一个棘手的问题。有些技术负责人是懂安全的,或者经历过比较严重的安全事件的,如果遇到这样的技术负责人那会简单很多。但是如果技术负责人不懂安全,没有经历过严重的安全事件,要得到他的支持也有一些难度。技术负责人比我们安全人员考虑的要
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
