老司机带你玩转SDL(一)
老司机带你玩转SDL
——第一站“缘由”
啦啦啦,啦啦啦
我是SDL的老司机
大厂小厂曾呆过
今天的内容真正好
带着大家把SDL玩转了
…………
伴随着类似聂耳《卖报歌》风格的如上神曲中,我们这趟“ (软件)安全开发生命周期(Security Development Lifecycle,以下简称SDL)”之旅启动了,欢迎同学们踊跃参加啊,相信它是一趟有益有趣的技术之旅,方法之旅,思想之旅。
01、旅行团
那么问题来了:这趟SDL之旅,会有哪些人员参与呢?先简介如下:image.png老C:参与计算机和互联网的基础架构建设超过30年的老兵,功底扎实,能力超凡;见证IT业太多兴衰荣辱,技术变迁和沧海桑田,但现在常给人一种难沟通和老掉牙的感觉。image.png大J:在软件开发和项目实践一线奋斗了20多年,为人亲和,与人沟通和做事都干练有效,是公司的中流砥柱之一;喔,对了,大J据说是出身名门的大家闺秀。image.png大L:就是本文作者我了,工作近20年,跟老C等在很多项目中学习和实践过SDL,玩转过虚拟化和云计算;为人本分实在,近来口头禅是‘见天地、见众生、见自己’,哈哈,这样说来有点装啊。image.png小A:近10年开始活跃和闪光,目前集千万人宠爱的人小鲜肉帅哥,据说他是来自大洋彼岸的富二代,但他低调的我们一点也看不出来,反而常感受到他的不断精进和完善。当然,一路上可能还有其他人受影响、被忽悠或上错车,加入此SDL之旅的。欢迎欢迎,人生和旅程一样,正是因为充满太多的不确定或意外,才更有意义啊。同时需要说明的是从下面开始,我们站在“上帝视角”(文字描述就变成第三人称)来观察和记录此旅行团的所有言行事件,故本次旅程的始作俑者和向导我摇身一变,成了故事中的大L,也践行上面所说的“见自己”。
02、旅程
大家刚把行李摆放好,一行四人围坐在卧铺下面的小桌子旁。列车已经缓缓启动,此时传来了列车播音:“亲爱的旅客,列车已经出发,下一站是缘由,缘由位于我国……”这时老C就发话了:“L同学,你邀请我们参加这趟SDL旅程,你还自诩是老司机,那一路上会经历哪些站点呢?你要给大家说一下啊!”大L:“初步计划,我们的旅程会经过缘由,思想,建模,工具,实践上,实践下和回顾一共七个站。”
03、治未病和高质量
话音刚落,小A就问道:“L哥,我想问一下,缘由这个站,感觉有点意思,你先介绍一下吧!”“好的。”大L停顿了一下,紧接着说:“这就要容我慢慢说了。首先,你读过《黄帝内经》没有?”小A:“没有。”大L:“没有也关系,我读过一点《黄帝内经》,该书《素问•四气调神论》篇,有‘是故圣人不治已病,治未病,不治已乱,治未乱,此之谓也。夫病已成而后药之,乱已成而后治之,譬犹渴而穿井,斗而铸锥,不亦晚乎?’”“天啊!”小A叫了起来,“L哥,你能不说这么文邹邹的吗?”大L笑了:“那你听说过在北京召开的十九大会议上,已经明确指出我们的社会由高速发展阶段到高质量发展阶段的断论吗?”小A惊讶了,“我的L哥啊,你能不扯这么远,不说这么高大上的话吗?”刚才还在微笑的大L此刻有点脸红了。
04、大J解读
这时在旁的大J发话了:“L说的高远有内涵,但大多数人一下子难于理解和接受。”然后她直视小A,继续说道:“他提到《黄帝内经》里的一段话语,强调的是设计系统也好,开发软件也罢,都如同我们的身体一样,最重要的是通过锻炼、休息和饮食等健康管理达到不生病的状态,而不是放纵生病了再去医治。我因为参与项目开发和管理,上过不少课,记得有一张解决安全问题成本的量化数据表。”说完,大J用了不到三秒的时间,从携带的笔记本里翻找和展示了如下一张图:
image5.png
(图1,不同阶段解决安全问题的成本)
“经J姐这么一说,我理解了。那他后面说的‘由高速发展阶段到高质量发展阶段’这话又是什么意思呢?”小A如是问。大J:“我想他是表达我们做产品做软件,不能粗制滥造,强调要出精品。当然,他是从事多年安全的,那就是说安全很重要很必要,安全做好了是产品和服务的核心竞争力。”
05、大L解读
“对头,还是人见人爱、花见花开的J姐好啊!”大L接着说:“除了J姐刚才说的,我还想到了现在我们智能设备、互联网入口公司,已经是存量市场而不是增量市场了,所以我们真的需要用心做精品,做一流。因为存量市场竞争比增量市场竞争更激烈,需要更好的产品和服务去打动用户,去争取用户。而互联网时代,安全灰(非)常重要,是一个公司,一个团队,职场个人的核心竞争力之一啊。”“很有道理的样子。”小A说道:“那L哥你能不能进一步给我们阐述一下呢?”老C也说道:“L同学,你就用你善于从不同层面和纬度看问题的方式,给我们大家讲一下,让我们也看看你这个SDL老司机的理解和认识究竟是如何的。”“好吧,我就勉为其难,给大家介绍一下。”大L面露开心,紧接着说:“通过刚才大伙的聊天,我发现说话要直白接地气,那我就拿现实中的人和事来举例说明吧!”
06、SDL与个人
大L面对着小A,说道:“小A,你刚工作两年,在房价贵如金的深圳没买房吧,没买房是因为钱;可是,你有想到过解决办法吗?”小A:“L哥,你说对了,没钱所以没买。你说的解决办法,我也想过啊,就是多赚钱。”“没错,是要多赚钱。” 大L继续说:“多赚钱,我认为咱们得有赚钱的能力,这能力就是能给企业或社会做出贡献,我们才有相应的回报。说白了就是要有竞争力,你说是不是?”“对,我的哥。你这么一说,我明白了。你想说的是拥有安全技术,掌握SDL有利于我们每个上班族提高竞争力。”小A如是说。
07、SDL与团队
大L:“你理解得非常到位,我还要说,掌握和玩转好SDL有利于团队竞争力和输出。”小A:“Why?”大L:“我们很多人都知道或学习过软件工程,它可以从多个角度去理解。比如可以理解其强调的是技术和管理两条腿走路;也可以理解它是把软件系统从需求,到设计,到开发测试和发布运维整每个过程规范化,把很多看不见摸不着、容易发生变化的活动显性化、稳定化。”小A:“L哥,请你再说详细一点!”大L:“SDL就是提升软件安全性的一种软件工程,或者说它是软件安全性的最佳实践。它也强调从管理和技术两个层面入手,保障和提升软件安全质量;它完全符合当今各家公司在使用的IPD(Integrated Product Development, 简称IPD)过程,在IPD过程中的多个环节,植入安全活动,提升软件的安全性。”小A:“听你这么一说,我想了想IPD过程中的需求调研,架构设计,到开发测试和发布运维,还真是这么一回事。”这时大J补充道:“是的,L同学说的没错,我个人从事项目实践和管理多年,也深深理解和践行了IPD,我们是通过控制过程来保障输出,技术和管理并行的。因为一个团队、一个项目必然有目标,有分工合作,沟通协调的,这时就需要规矩和方法去保证输出质量。”“SDL就是一个确保软件安全的规矩和方法,它能让一个团队有尽可能好的输出!”大L迫不及待地补了一句。
08、SDL与公司
“哈哈!”小A笑了,接着说:“那L哥,你说的它还能让一个公司收益,这话会不会有点夸张了?”“不夸张!”大L说道:“刚才我说过,我们智能设备、互联网入口公司,已经是存量市场而不是增量市场了,所以我们真的需要用心做精品,做一流。因为存量市场竞争比增量市场竞争更激烈,需要更好的产品和服务去打动用户,去争取用户。所以进一步,一个公司把产品和服务的安全提升了,就能保护用户利益,符合行规和监管要求,这样就能直接或间接赢得用户,维护产品口碑,提升公司形象。岂不美哉!”说完,大L迅速打开身边的笔记本,大约在三分钟时间内,捣鼓出如下一张图:
image6.png
(图2,SDL与个人,团队和公司的关系)
众人看完其打油诗和图示,虽感觉用词有点搞笑,但也暗暗惊叹其有逻辑有层次。于是纷纷笑了,此刻,小组上空洋溢着一种欢快的气氛。
09、SDL与它爸
聪明的小A看了一会手机,好像是搜索了什么,然后抬头面对大L,说:“L哥,经刚才你们这么介绍和展示,我受益匪浅,也看了一下资料,原来这个SDL还是源自软件业界坐第一把交椅的微软公司。”大L:“是的,微软就是经历了Windows XP在架构设计,开发测试和发布运维期间没有成熟的安全解决方案而导致安全问题不断,比如2000年左右上大学的那一批人能感受到的‘震荡波’和‘冲击波’,可以说是‘人在宿舍坐,机从网上关’。一时间负面口碑不断,后期投入很多人力财力等去逐步解决的;痛定思痛之后,摸索出来这么一套软件安全开发最佳实践。”说罢,大L用手机迅速搜到如下图片并给大家展示了一下:
image7.jpg
(图3,没有SDL之前的XP系统漏洞及危害)
就在这时,传来了列车播音:“亲爱的旅客,列车已经到达缘由站,期间停车2分钟,有需要下车的旅客请……”
老司机带你玩转SDL(一)相关推荐
- 老司机带你玩转面试(2):Redis 过期策略以及缓存雪崩、击穿、穿透
前文回顾 建议前一篇文章没看过的同学先看下前面的文章: 「老司机带你玩转面试(1):缓存中间件 Redis 基础知识以及数据持久化」 过期策略 Redis 的过期策略都有哪些? 在聊这个问题之前,一定 ...
- 金士顿固态硬盘不认盘修复_#原创新人#老司机带你玩转PC,故障之SSD篇 篇一:金士顿 V300 240G SATA3 固态硬盘 丢盘掉速解决记录...
#原创新人#老司机带你玩转PC,故障之SSD篇 篇一:金士顿 V300 240G SATA3 固态硬盘 丢盘掉速解决记录 2016-10-25 11:14:08 12点赞 72收藏 23评论 小编注: ...
- 老司机带你玩转面试(1):缓存中间件 Redis 基础知识以及数据持久化
引言 今天周末,我在家坐着掐指一算,马上又要到一年一度的金九银十招聘季了,国内今年上半年受到 YQ 冲击,金三银四泡汤了,这就直接导致很多今年毕业的同学会和明年毕业的同学一起参加今年下半年的秋招,这个 ...
- 老司机带你玩转网盘,就是这么简单暴力
小伙伴们,小曹哥来了.互联网分享引流的大咖有很多,小曹只是他们的一个搬用工,肯定没有大咖们做的好,请大咖们多多担待,也请在上小曹评论区留下珍贵的意见,我会虚心向各位学习.好了,今天的主题现在开始,我们 ...
- 资深老司机带你玩转-测试用例
一.测试用例-模板 所属模块 相关需求 用例标题 前置条件 步骤 预期 优先级 用例类型 /MKT(#1000) [MKT-需求]XXXXXXX [9.9_MKT_WEB]优惠列表,XXXXXXXXX ...
- 老司机带你玩转git (四) git的协同合作
大家都知道,git被戏称为全球最大的同性的交友平台.在这里,不仅能完成各种项目的学习,更能完成各种姿势的学习(呜呜呜呜呜~小火车经过啦).那么为了更好的开车(学习).我想我们有必要学习pull req ...
- 导航编程用c语言还是c加加,C语言/C加加大神程序员老司机带你玩转C语言指针详解...
很多初学编程的小伙伴都会选择C语言作为第一门学习的编程语言,因为C语言作为一门底层基础语言相对于其他的高层语言来说更加容易学习.可以来帮助正在学习编程的小伙伴更加快速的了解计算机原理. 但是初学C语言 ...
- 纵剑仙界一直显示连接服务器,纵剑仙界h5新手指引 老司机带你少走弯路
纵剑仙界h5新手指引,老司机带你少走弯路.新手初来乍到,不知道该做什么怎么办?别怕!让小编来手把手教你玩转纵剑仙界! 在<纵剑仙界>手游中,等级是一个非常重要的因素.除了转生.装备高阶装备 ...
- 老司机带你从源码开始撸Spring生命周期!!!
导读 Spring在Java Web方面有着举足轻重的地位,spring的源码设计更是被很多开发者所惊叹,巧妙的设计,精细的构思,都注定他的地位.今天陈某大言不惭的带你来从源码角度解析Spring的生 ...
最新文章
- 《强化学习周刊》第25期:DeepMind提出无模型风险敏感强化学习、谷歌发布 RLDS数据集生态系统...
- 暴风影音去广告链接和后台运行进程
- 对话找钢网创始人王东:电竞少年凭什么革了钢贸行业的命?
- python log函数_python要点-装饰器
- pdo插入mysql数据出错_php中通过pdo插入数据时,sql语句错误?
- 自定义权限 android,如何在Android中使用自定义权限?
- linux显卡性能测试工具,Linux系统中A/N显卡通用计算性能测试
- json 来实现 php 与 javascript,用 Json 来实现 PHP 与 JavaScript 间数据交换
- Windows系统下查看已共享的文件夹的方法
- 每日一乐,健康多滋味~~
- 为什么我得到javafx.fxml.LoadException甚至fxml文件的路径都是正确的
- STM32驱动W25Q64读写数据
- MRP专题二:计划策略(MTO)
- Android集成华为、小米、OPPO、VIVO、极光推送
- 周杰伦演唱会门票还能这样抢?看过来!我用Python实现了大麦网自动抢票功能
- matlab寻峰算法,求助我这个寻峰算法该怎么提高灵敏度
- SQL连接的理解和使用(内连接:自然连接等值连接,外连接:左连接右连接全外连接)
- SOFA BOLT源码解析之设计要点-线程模型
- 为何别人实操很强?因为他用这70个Python项目学习练手!它值得你收藏落灰!
- 段正淳是否是一个卑劣的人?