Open mylamour opened 5 years ago
首先专家的定义是指对某一事物/领域精通,并有独到见解的人。根据我自身经历我认为SDL专家起码应该具有以下这4点基本要求.(PS: 同事说,SDL专家就是扮演好一个保姆)
首先只有熟悉了开发规范,并且具有专业输出能力,才有把整个事情做出来的基本能力。但同时整个流程是不可避免的涉及到多个部门间的合作,此时跨部门协调能力,以及沟通能力毋容置疑也是十分重要的。
SDL的防护,自古以来的说法是自上而下的推动。当然在小公司中,可能是需要先有安全人员的反馈才能产出,是一种自下向上的行为。不过这种行为,在大公司内的可行性几乎为0...
根据开发流程,找到对应的人员,咨询的,技术支持的,解决问题的,职责者,对应领导,手上的项目,项目的价值等等先要梳理清楚。(安全的目标是保驾护航,不是去阻碍业务发展。)
下图中的总结可能仍有疏漏,抛砖引玉之用。希望能够看到更为详细的在流程中所需面临的一些基础问题。
针对出现的问题风险,一个SDL专家需要做到什么程度。在不同的领域均有造诣?还是说清晰的逻辑思维?简要梳理了下图。真正的SDL专家需要了解的技能领域。
当然很大程度上,在具体的实施上。这些事情是没有办法一个人去完成的,所以这个时候需要体现出另一个职责:带队能力。 通过带领几个安全工程师,分别处理完成不同时间线上的问题。需要安全架构去评审的交给评审工程师。该安全开发培训的交由开发去培训,该进行安全运维的去安全运维,该运营SRC的运营SRC。 分门别类的完成对应的职责。将每一部分进行精细化的运营即可。这个时候专家还需要汇总,和整体把控一下。当然,很多情况下,小公司是不可能养得起一个安全团队的。 那么,你是专家,你尽量干。。。按优先级处理。(不过小公司也不会有这么个流程,被盯梢的几率也不大。即便出了问题,做好基本防护的话,影响也不会很大)
当脱离了大厂平台,意味着成熟化的,配套的生态工具(大多是自研的)不再,如何能够有效的建设企业安全?依赖开源工具?购买第三方安全防护?借助第三方基础设施?成本如何考虑?
首先专家的定义是指对某一事物/领域精通,并有独到见解的人。根据我自身经历我认为SDL专家起码应该具有以下这4点基本要求.(PS: 同事说,SDL专家就是扮演好一个保姆)
首先只有熟悉了开发规范,并且具有专业输出能力,才有把整个事情做出来的基本能力。但同时整个流程是不可避免的涉及到多个部门间的合作,此时跨部门协调能力,以及沟通能力毋容置疑也是十分重要的。
SDL的防护,自古以来的说法是自上而下的推动。当然在小公司中,可能是需要先有安全人员的反馈才能产出,是一种自下向上的行为。不过这种行为,在大公司内的可行性几乎为0...
根据开发流程,找到对应的人员,咨询的,技术支持的,解决问题的,职责者,对应领导,手上的项目,项目的价值等等先要梳理清楚。(安全的目标是保驾护航,不是去阻碍业务发展。)
下图中的总结可能仍有疏漏,抛砖引玉之用。希望能够看到更为详细的在流程中所需面临的一些基础问题。
针对出现的问题风险,一个SDL专家需要做到什么程度。在不同的领域均有造诣?还是说清晰的逻辑思维?简要梳理了下图。真正的SDL专家需要了解的技能领域。
当然很大程度上,在具体的实施上。这些事情是没有办法一个人去完成的,所以这个时候需要体现出另一个职责:带队能力。 通过带领几个安全工程师,分别处理完成不同时间线上的问题。需要安全架构去评审的交给评审工程师。该安全开发培训的交由开发去培训,该进行安全运维的去安全运维,该运营SRC的运营SRC。 分门别类的完成对应的职责。将每一部分进行精细化的运营即可。这个时候专家还需要汇总,和整体把控一下。当然,很多情况下,小公司是不可能养得起一个安全团队的。 那么,你是专家,你尽量干。。。按优先级处理。(不过小公司也不会有这么个流程,被盯梢的几率也不大。即便出了问题,做好基本防护的话,影响也不会很大)
思考:
当脱离了大厂平台,意味着成熟化的,配套的生态工具(大多是自研的)不再,如何能够有效的建设企业安全?依赖开源工具?购买第三方安全防护?借助第三方基础设施?成本如何考虑?