3.7.4　SDL在互联网企业的发展

目前SDL在大部分不太差钱的互联网企业属于形式上都有，但落地的部分会比较粗糙。通常只有一两个环节。最主要的瓶颈还是人和工具的缺失。以前互联网企业只生产Web，攻防驱动修改得以应付，但是现在大型的互联网企业不再只生产Web，而是会自己生产诸如分布式数据库、浏览器、手机操作系统这样的大型软件，单纯的攻防驱动修改已经日渐乏力，没有足够的安全设计能力将无法应对未来的威胁。因此推测以后的安全行业中，设计方面的人才会严重缺失，大部分甲方安全团队仍然游离在设计的大门之外，只有一些大型厂商正在借研究之名来做一些改进安全设计的工作，期待这些大型厂商们能带一带团队，给这个行业培养一些生力军。

SDL除了最早基于传统瀑布模型的版本，以及为DevOps优化的版本，实际上在实践阶段还可以优化成极速发布的版本，或者干脆不追求SDL而从其他的维度来弥补SDL不健全的问题，其实现的本质是原来的SDL对研发流程的修改有点像“阻塞式IO模型”，而现在可以通过工具和技术手段使其变成“异步IO模型”，从更高维度补贴SDL的思路在这里不再展开，后续会在笔者博客上专题分享。

参考资料

微软SDL白皮书：https://www.microsoft.com/zh-cn/download/details.aspx?id=12379