标签:
《微软SDL水土不服,国产SDL走向何方?》中提到了SDL在国内难以推广的尴尬局面。
Janusec的安全研究员分析认为,造成SDL(安全开发周期)推广难的主要原因有:
首先,缺少专业的安全人员。SDL是一项系统性的工程,其推广和落地,在安全需求、安全设计、方案评审与风险评估、安全测试、安全部署各个环节均离不开安全人员的参与,均高度依赖于安全人员的专业水平。SDL的众多活动环节,需要不同的安全专业人员进行把关,而且需要建立相应的策略、标准、规范、模板或Checklist,以及建立相应的组织,明确角色和职责分工,这是一项比较浩大的工程。大型公司有较大的财力,能够聚集一批安全人才,逐步建立起适应各自业务的SDL体系;但中小公司往往聚焦在业务上,没有太多精力关注安全,也没有招募大批安全人才的意愿,难以建立起一个满足SDL基本要求的团队。SDL这套体系本身,也只有亲自实践过SDL的安全人员,才能有比较深的理解和体会。缺少这类人才,实施SDL的这道门槛就难以跨越过去。
其次,实施及运维成本太高。SDL的相关咨询服务,以及相关IT产品(包括项目管理类产品、IT服务管理类产品、SOC或安全应急响应类产品)的引入、改进、实施、运维,均需要较高的成本,以及维持团队的日常运作,对于中小型公司来说不是一笔小数目。
因此,要降低推广SDL的难度,就要降低对专业安全人员的过度依赖、降低实施的成本。Janusec认为,提供SDL SaaS(软件即服务,即直接提供基于SDL的在线安全开发周期管理平台)服务是降低SDL实施门槛、推广SDL的必经之路。使用SDL SaaS服务之后,可以降低对专业安全人员的依赖,也节省了采购SDL咨询服务,以及项目管理、IT服务管理等产品的费用。
鉴于此,Janusc决定简化SDL并提供免费的SDL SaaS服务,将”专业安全人员”这个角色和实施SDL所需的相关IT产品转移到SaaS服务提供方,直接提供安全最佳实践,以在线Checklist的形式提供,在流程中,直接创建本阶段对应的安全任务,使用Checklist自检 + 复核/风险评估 的模式,大幅降低安全落地的难度。它源于SDL(安全开发周期)方法论,但又不拘泥于SDL的限制,将它和国际/国内巨头公司的项目管理实践结合起来,从源头开始进行安全控制,通过规范的项目管理过程和关键任务的引入,确保开发设计及部署过程中遵从安全最佳实践,保障所交付产品在全生命周期过程中的安全性。
附件:
提供SDL SaaS服务是降低SDL实施门槛、推广SDL的必经之路
提供SDL SaaS服务是降低SDL实施门槛、推广SDL的必经之路
标签:
原文地址:http://www.cnblogs.com/-U2-/p/4846004.html
