FAQ

我们是做什么的?#

我们的组织是一个非盈利的组织,致力于帮助中国互联网公司落地SDL安全开发生命周期的指导文档。保障公司的产品更安全。

我们成员来自哪里?#

我们的成员都是来自中国各个互联网公司的一线工程师

为什么需要SDL?#

微软SDL( Security Development Lifecycle)流程,是一种专注于软件开发安全保障的流程,为了实现保证最终的用户安全,在软件开发各阶段中引入安全和隐私问题。保障 安全可控

SDL落地会遇到哪些问题?#

首先一定要有领导首肯,从上往下推动流程会相对容易,另外一定要把自己放到开发者的立场来考虑问题,要保持同理心,流程不是为了卡住上线,而是为了保障公司的产品更安全。如果中间遇到开发leader反对情况,要保持冷静,问清楚反对原因,得到原因后想办法解决对方顾虑。

如何摆正推动SDL的心态?#

推动SDL时候切记不能站在高位角度和道德制高点来推进事情,首先心态要摆正,安全是要嵌入到研发团队来共同开发产品,通过对产品的了解,能够帮助开发和协同开发更好的解决安全问题。要和团队保持足够的沟通,不要高姿态,要有同理心,多站在对方立场去考虑问题,尽量一定周期内有匿名问卷调查发到开发团队,让各位研发同学尽情吐槽。只有更早的发现问题,解决问题,推进流程才会更顺利。

为什么我前期非常顺利,但是后续总感觉推不动?#

因为前期大家都会比较配合,如果推动过程中考虑不完善,就会导致很强烈的反弹,表现为阳奉阴违拒不配合各种挑毛病。遇到这种情况最常见的原因就是因为没有和开发有足够的沟通。要明确一个事情,推动流程相当于打破常规,如果没有足够的准备和考虑,打破常规的人都会死的比较惨。所以在前期一定要和开发团队、测试团队、产品经理、研发leader有足够的沟通,要让他们说出来担心的点。另外一定要在推动过程中有 匿名问卷调查 只有在合作过程中发现所有可能遇到的问题或者已经遇到的问题,才能够保证流程的顺利推进。所以推动流程:沟通能力为第一要素