3.7.4 SDL在互联网企业的发展
目前SDL在大部分不太差钱的互联网企业属于形式上都有,但落地的部分会比较粗糙。通常只有一两个环节。最主要的瓶颈还是人和工具的缺失。以前互联网企业只生产Web,攻防驱动修改得以应付,但是现在大型的互联网企业不再只生产Web,而是会自己生产诸如分布式数据库、浏览器、手机操作系统这样的大型软件,单纯的攻防驱动修改已经日渐乏力,没有足够的安全设计能力将无法应对未来的威胁。因此推测以后的安全行业中,设计方面的人才会严重缺失,大部分甲方安全团队仍然游离在设计的大门之外,只有一些大型厂商正在借研究之名来做一些改进安全设计的工作,期待这些大型厂商们能带一带团队,给这个行业培养一些生力军。
SDL除了最早基于传统瀑布模型的版本,以及为DevOps优化的版本,实际上在实践阶段还可以优化成极速发布的版本,或者干脆不追求SDL而从其他的维度来弥补SDL不健全的问题,其实现的本质是原来的SDL对研发流程的修改有点像“阻塞式IO模型”,而现在可以通过工具和技术手段使其变成“异步IO模型”,从更高维度补贴SDL的思路在这里不再展开,后续会在笔者博客上专题分享。
参考资料
微软SDL白皮书:https://www.microsoft.com/zh-cn/download/details.aspx?id=12379