SDL

SDL即Security Development Lifecycle (SDL)，是微软提出的从安全角度指导软件开发过程的管理模式。SDL不是一个空想的理论模型。它是微软为了面对现实世界中安全挑战，在实践中的一步步发展起来的模式。

SDL的核心理念就是将软件安全的考虑集成在软件开发的每一个阶段 需求分析、设计、编码、测试和维护。

基本内容块

培训：核心安全培训，对相关开发、测试、运营人员的培训
需求：
	安全需求分析：应用认证方式、权限控制、审计方式等
	质量要求/BUG数量要求：确保安全和隐私的重要标准
	安全和隐私风险评估：对身份证、银行卡、手机等信息进行风险控制
设计：
	设计需求分析：避免安全问题引起的需求变更等
	减少攻击面：从应用本身的漏洞和弱点出发尽可能的减少漏洞，最小权限原则等
实施：
	使用指定工具：配置、使用、设置等相关工具
	弃用不安全的函数：伪随机函数、级别较低的加密算法等
	静态代码分析：工具扫描和人工分析等
验证：
	动态分析：测试环节验证程序的安全性
	模糊测试：发送大量的数据查看对应的输出是否存在安全漏洞
	威胁模型和攻击面评析：修正需求变更引起的内容等安全问题
发布：
	事件响应计划：类比火灾演练
	最终安全评析：发布之前对安全问题作做种的安全评估检查
	发布存档：为应急响应和产品评估提供相应的支持
	
响应：最终的响应处置

未来发展

安全运营工作：渗透测试、代码审计、漏洞扫描等方法发现和修复安全问题

防御体系建设和快速响应攻击：设计安全方案、实施安全措施等

安全扫描：常用端口扫描、全端口扫描、新上线的业务、新爆发的0day漏洞等
分成定期扫描、每天扫描、及时扫描等不同的扫描周期

每天关注订阅的邮件、知名的安全微博、知名安全公众号等内容的推送
对公司的系统、软件、硬件等内容有一个较好的了解
采用waf防御方案时及时更新对应的补丁

制定对应的安全应急方案，及时面对威胁采取积极的措施及时补救

上线之后进行实时的检测，对系统进行安全检测，实时防御

及时建立对外的沟通渠道，及时提供统一对外沟通的邮件IM工具、提供安全相关的沟通群、提供外部反馈问题的网站等

融洽安全圈的关系，了解著名的安全公司和安全圈子，积极参加安全会议，积极融入安全圈进行合作

对安全的品牌价值建设，参加举办安全会议，打造拿权产品，成立安全实验室等