概况
——某软件
开始不太了解项目,目的不明确,客户也不太明确自己的想法;多次沟通多次尝试;国内外不一样;从小到大的点入手【app合规】;安全投入还可以;企业文化不一样;
- SDL项目(能力输出、运营服务)
- 有大量国外的法律法规要求【美资公司,开发中国人,业务大部分国外】
- 带头人是开发负责人,实际运营
- 想做SDL但没有合适的入手点
总体上是 :安全工作不全面,不闭环。没长远规划;安全漏洞发现不及时,不完整; 安全风险的缓解和预防,不能起到长期作用;
亮点
- 结果为导向(做与不做的区别)
- 陪伴式服务(建立规范流程)
- 重在赋能(基本认识、操作、培训)
- 产品服务化(自研产品体系化,产品方案化服务化完整性、工具平台是保障)
专家人员是关键:咨询、安全开发建设、方案、攻防; 有机结合
思路
分析
培训 —— 需求 —— 设计 —— 实施 —— 验证 —— 发布 —— 响应
通过一期建设,即完成典型建设的第一阶段;同时 超前开启了安全开发前期的关键工作,全流程工作已覆盖关键业务系统、项目
收获
对整个SDL运作有了感性认识;
开发安全事件大大降低;
对专职人员岗位设定有了明确的规定
改进和建议
需要更加灵活和模块化、提升能力、控制人员消耗