SDL100问:我与SDL的故事
01
—
关于SDL 100问
自从《SDL最初实践》在公众号上发布以来,已经四年多。从那时起,也创建了微信群“SDL专属交流群”,专题交流软件安全相关内容,现如今成员也有242人。总体来说,整体的交流质量达到了预期(倡导宁可不发言,也不要发无关的内容),基本做到了在垂直领域生根发芽。
1.1.命名构想
选择SDL、SDLC、S-SDLC中的哪一个加入标题?思考了许久,因为本身思维比较严谨、尊重原创以及为了简单好记,所以选择了微软提出的SDL(Security Development Lifecycle,安全开发生命周期),弃用S-SDLC(Secure Software Development Lifecycle,OWASP提出的安全软件开发生命周期)。
关于100的想法,最开始想到的是圆满,但又担心这个数字太大了,在保质的情况下难以完成。当分析到2019-12-15的聊天记录时,发现已经积累了59条,此刻担心瞬间变成了多余,后面应该是做减法至100条。至此,将两者凑在一块儿,文章的标题就此诞生了。
1.2.主要内容
该系列内容,主要取材于群聊天记录,结合个人对软件安全的理解、认知和实践经验,编撰而来。主要分为以下几个方面:
- 参考资料:业内规范、微软官网、技术博客、大会议题等分享的相关文章,均是由群友举荐,笔者从“有用”角度出发进行筛选,整合出一些高价值的资料;
- 安全工具:软件开发安全建设中用到的安全测试工具,包括但不仅限于威胁建模分析工具、黑白灰盒类漏洞检测工具、运行时入侵检测工具等,尽可能的总结出“好用”的工具链;
- 实践经验:群内基本都是从事或涉猎软件安全方向的同行,在入群前、本着信任的原则对群友们进行了简单的沟通。其中也不乏在互联网大厂、智能制造巨头实践过的前辈,他们的指点或点拨,对即将开始或已经开始的同行是莫大的帮助;
- 指导建议:针对群友的提问,有热心、有经验的人会出来回答问题,会谈到很多经验之上的原则和思路,笔者认为这来源于经验到又超脱经验,保守来说姑且归纳为指导建议。
02
—
文章的写作过程
2.1.组建分析团队失败
曾在微信群里发起过倡议,将群内容整理和沉淀。大家讨论比较热烈,有人提议建立一个小密圈,也有人建议做一个wiki…但到了想要拉人一起做的时候,人数降至了3人,再到了真正干活的时候,就剩下笔者孤零零一人。
2.2.处理群消息的困扰
差不多近四年的消息,最大的问题就是换了多次、多个终端,消息记录断了。好在微信自带消息同步、备份和恢复功能,所以在处理时是把多个移动终端备份到电脑上,再从电脑上还原到同一台手机。凑齐聊天记录之后,就是处理消息提取了。
最开始偷懒,用手滑手机、大脑思考并记录,这样效率太慢。于是乎就想提取全部的群消息,直接用电脑查看、搜索和粘贴,极大的提升了效率。不过中间踩了好多坑,不仅令人想到磨刀不误砍柴工,生命的精彩在于折腾等经典名句,并以此来激励自己坚持把分享《SDL 100问》这件事做下去。
2.3.内容的沉淀和升华
从最开始就想要定位:新人、老手看后都有收获,简单易懂有深度。这非常难,但是比较有做的意愿。先是提取了所有的聊天信息(19.12.15 ~ 23.12.31),其次是把有用的信息同时用眼睛和大脑过一遍、手工摘抄出来,设计分类目录进行分类,内容归并和提取,对外输出格式设计…整个过程拼的是体力,考验的是脑力。
03
—
爆发式分享计划
3.1.个人理解的分享意义
不想浪费自己的工作经验与感悟、不愿让群里大佬们的高质量交流被时间掩埋,于是结合日常工作中遇到的软件安全建设和运营问题,以问答和点评的方式整理成册对外分享,旨在为信息安全行业 - - 软件安全领域做出微薄贡献。
3.2.坚持持续打卡的目标
这个idea对行业而言微不足道,但是对个人的意义却十分宏大,想起来就令人兴奋不已。所以即使平时工作繁忙、早晚在家和节假日需要陪伴家人,但还是想倒逼自己开始并完成持续输出,计划每周简洁的输出5个话题,在未来五个月的时间里完成100问。
所谓的简洁,即是每次仅发一个问题或分享,尽量保留群里大咖的优质回答,并在最后做总结与点评。问题的选取维度及内容设计,主要有以下三部分:
- 有货疑问:有价值、有意义,对于希望从事该领域的同行们有帮助的问题,会被笔者筛选出来。当然了,也涵盖了笔者遇到的一些问题;
- 价值交流:建群之初邀请了一些领域内的前辈和高手,后来持续不断地涌入不少专家,他们贡献了很多有价值的观点和经验。当有疑问或不错话题时,也会不吝进行分享、留下了一些有价值的知识,本次内容将尽量保留“大家”的观点;
- 笔者点评:更加恰当的说,应该算是观点或知识总结。按照自己的思路和理解对以上QA发表意见,受限于个人经历、领悟所以也会存在一些不足,望读者朋友们不吝留言赐教。
04
—
附部分主题内容
4.1.安全工具
4.2.实践经验
4.3.指导建议
4.4.参考资料
