天气很好，就希望赶紧写好，去买点花草，今天立春。

TT昨晚没有休息好，据说在大晚上做白日梦。厉害。刚才听说，她加薪了，年后执行，不到一年，就得到很多认可，是她努力的结果，真心为她高兴，加油，TT。

最近想法有点杂，或者说飘忽，就是到底要多讲点技术呢，还是思路呢。对于一个销售，到底需要了解多少技术呢。

说过一个月扫盲小白，三个月进阶，半年可以成为江湖人士的。那还是按部就班的来吧。

网络安全的本质是攻防对抗。不存在一劳永逸的“银子弹“。（解决一切问题的办法）

S-SDLC & DevSecOps

感觉提SDL越来越多，那么就了解一下吧。有说SDL的，也有说SSDLC的，可以理解为指的都是安全开发生命周期。

安全开发生命周期（SDL）:Security Development Lifecycle，是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动，以减少软件中漏洞的数量并将安全缺陷降低到最小程度。

软件开发安全生命周期 SSDLC (Secure Software Development Lifecycle)  ,SSDLC的基本思路是将安全工作左移，侧重在事前事中做好安全控制，而不是在事后修补。

DevSecOps 看起来是通过给开发(Dev)或是运维(Ops)角色加强或是建立安全意识(Sec)，或是在产品团队中引入一个安全工程师角色，在产品设计中找到安全问题，从而把安全要求汇聚在 Devops 中。（感觉和SDL有点相似的意思，但是没有提及全生命周期的说法，没有强调安全在整个开发过程完整的贯穿）