老司机带你玩转SDL
——第一站“缘由”
啦啦啦,啦啦啦
我是SDL的老司机
大厂小厂曾呆过
今天的内容真正好
带着大家把SDL玩转了
…………
伴随着类似聂耳《卖报歌》风格的如上神曲中,我们这趟“ (软件)安全开发生命周期(Security Development Lifecycle,以下简称SDL)”之旅启动了,欢迎同学们踊跃参加啊,相信它是一趟有益有趣的技术之旅,方法之旅,思想之旅。
01、旅行团
那么问题来了:这趟SDL之旅,会有哪些人员参与呢?先简介如下:
老C:参与计算机和互联网的基础架构建设超过30年的老兵,功底扎实,能力超凡;见证IT业太多兴衰荣辱,技术变迁和沧海桑田,但现在常给人一种难沟通和老掉牙的感觉。
大J:在软件开发和项目实践一线奋斗了20多年,为人亲和,与人沟通和做事都干练有效,是公司的中流砥柱之一;喔,对了,大J据说是出身名门的大家闺秀。
大L:就是本文作者我了,工作近20年,跟老C等在很多项目中学习和实践过SDL,玩转过虚拟化和云计算;为人本分实在,近来口头禅是‘见天地、见众生、见自己’,哈哈,这样说来有点装啊。
小A:近10年开始活跃和闪光,目前集千万人宠爱的人小鲜肉帅哥,据说他是来自大洋彼岸的富二代,但他低调的我们一点也看不出来,反而常感受到他的不断精进和完善。
当然,一路上可能还有其他人受影响、被忽悠或上错车,加入此SDL之旅的。欢迎欢迎,人生和旅程一样,正是因为充满太多的不确定或意外,才更有意义啊。
同时需要说明的是从下面开始,我们站在“上帝视角”(文字描述就变成第三人称)来观察和记录此旅行团的所有言行事件,故本次旅程的始作俑者和向导我摇身一变,成了故事中的大L,也践行上面所说的“见自己”。
02、旅程
大家刚把行李摆放好,一行四人围坐在卧铺下面的小桌子旁。
列车已经缓缓启动,此时传来了列车播音:“亲爱的旅客,列车已经出发,下一站是缘由,缘由位于我国……”
这时老C就发话了:“L同学,你邀请我们参加这趟SDL旅程,你还自诩是老司机,那一路上会经历哪些站点呢?你要给大家说一下啊!”
大L:“初步计划,我们的旅程会经过缘由,思想,建模,工具,实践上,实践下和回顾一共七个站。”
03、治未病和高质量
话音刚落,小A就问道:“L哥,我想问一下,缘由这个站,感觉有点意思,你先介绍一下吧!”
“好的。”大L停顿了一下,紧接着说:“这就要容我慢慢说了。首先,你读过《黄帝内经》没有?”
小A:“没有。”
大L:“没有也关系,我读过一点《黄帝内经》,该书《素问•四气调神论》篇,有’是故圣人不治已病,治未病,不治已乱,治未乱,此之谓也。夫病已成而后药之,乱已成而后治之,譬犹渴而穿井,斗而铸锥,不亦晚乎?’”
“天啊!”小A叫了起来,“L哥,你能不说这么文邹邹的吗?”
大L笑了:“那你听说过在北京召开的十九大会议上,已经明确指出我们的社会由高速发展阶段到高质量发展阶段的断论吗?”
小A惊讶了,“我的L哥啊,你能不扯这么远,不说这么高大上的话吗?”
刚才还在微笑的大L此刻有点脸红了。
04、大J解读
这时在旁的大J发话了:“L说的高远有内涵,但大多数人一下子难于理解和接受。”
然后她直视小A,继续说道:“他提到《黄帝内经》里的一段话语,强调的是设计系统也好,开发软件也罢,都如同我们的身体一样,最重要的是通过锻炼、休息和饮食等健康管理达到不生病的状态,而不是放纵生病了再去医治。我因为参与项目开发和管理,上过不少课,记得有一张解决安全问题成本的量化数据表。”
说完,大J用了不到三秒的时间,从携带的笔记本里翻找和展示了如下一张图:
(图1,不同阶段解决安全问题的成本)
“经J姐这么一说,我理解了。那他后面说的’由高速发展阶段到高质量发展阶段’这话又是什么意思呢?”小A如是问。
大J:“我想他是表达我们做产品做软件,不能粗制滥造,强调要出精品。当然,他是从事多年安全的,那就是说安全很重要很必要,安全做好了是产品和服务的核心竞争力。”
05、大L解读
“对头,还是人见人爱、花见花开的J姐好啊!”大L接着说:“除了J姐刚才说的,我还想到了现在我们智能设备、互联网入口公司,已经是存量市场而不是增量市场了,所以我们真的需要用心做精品,做一流。因为存量市场竞争比增量市场竞争更激烈,需要更好的产品和服务去打动用户,去争取用户。而互联网时代,安全灰(非)常重要,是一个公司,一个团队,职场个人的核心竞争力之一啊。”
“很有道理的样子。”小A说道:“那L哥你能不能进一步给我们阐述一下呢?”
老C也说道:“L同学,你就用你善于从不同层面和纬度看问题的方式,给我们大家讲一下,让我们也看看你这个SDL老司机的理解和认识究竟是如何的。”
“好吧,我就勉为其难,给大家介绍一下。”大L面露开心,紧接着说:“通过刚才大伙的聊天,我发现说话要直白接地气,那我就拿现实中的人和事来举例说明吧!”
06、SDL与个人
大L面对着小A,说道:“小A,你刚工作两年,在房价贵如金的深圳没买房吧,没买房是因为钱;可是,你有想到过解决办法吗?”
小A:“L哥,你说对了,没钱所以没买。你说的解决办法,我也想过啊,就是多赚钱。”
“没错,是要多赚钱。” 大L继续说:“多赚钱,我认为咱们得有赚钱的能力,这能力就是能给企业或社会做出贡献,我们才有相应的回报。说白了就是要有竞争力,你说是不是?”
“对,我的哥。你这么一说,我明白了。你想说的是拥有安全技术,掌握SDL有利于我们每个上班族提高竞争力!”小A如是说。
07、SDL与团队
大L:“你理解得非常到位,我还要说,掌握和玩转好SDL有利于团队竞争力和输出。”
小A:“Why?”
大L:“我们很多人都知道或学习过软件工程,它可以从多个角度去理解。比如可以理解其强调的是技术和管理两条腿走路;也可以理解它是把软件系统从需求,到设计,到开发测试和发布运维整每个过程规范化,把很多看不见摸不着、容易发生变化的活动显性化、稳定化。”
小A:“L哥,请你再说详细一点!”
大L:“SDL就是提升软件安全性的一种软件工程,或者说它是软件安全性的最佳实践。它也强调从管理和技术两个层面入手,保障和提升软件安全质量;它完全符合当今各家公司在使用的IPD(Integrated Product Development, 简称IPD)过程,在IPD过程中的多个环节,植入安全活动,提升软件的安全性。”
小A:“听你这么一说,我想了想IPD过程中的需求调研,架构设计,到开发测试和发布运维,还真是这么一回事。”
这时大J补充道:“是的,L同学说的没错,我个人从事项目实践和管理多年,也深深理解和践行了IPD,我们是通过控制过程来保障输出,技术和管理并行的。因为一个团队、一个项目必然有目标,有分工合作,沟通协调的,这时就需要规矩和方法去保证输出质量。”
“SDL就是一个确保软件安全的规矩和方法,它能让一个团队有尽可能好的输出!”大L迫不及待地补了一句。
08、SDL与公司
“哈哈!”小A笑了,接着说:“那L哥,你说的它还能让一个公司收益,这话会不会有点夸张了?”
“不夸张!”大L说道:“刚才我说过,我们智能设备、互联网入口公司,已经是存量市场而不是增量市场了,所以我们真的需要用心做精品,做一流。因为存量市场竞争比增量市场竞争更激烈,需要更好的产品和服务去打动用户,去争取用户。所以进一步,一个公司把产品和服务的安全提升了,就能保护用户利益,符合行规和监管要求,这样就能直接或间接赢得用户,维护产品口碑,提升公司形象。岂不美哉!”
说完,大L迅速打开身边的笔记本,大约在三分钟时间内,捣鼓出如下一张图:
(图2,SDL与个人,团队和公司的关系)
众人看完其打油诗和图示,虽感觉用词有点搞笑,但也暗暗惊叹其有逻辑有层次。于是纷纷笑了,此刻,小组上空洋溢着一种欢快的气氛。
09、SDL与它爸
聪明的小A看了一会手机,好像是搜索了什么,然后抬头面对大L,说:“L哥,经刚才你们这么介绍和展示,我受益匪浅,也看了一下资料,原来这个SDL还是源自软件业界坐第一把交椅的微软公司。”
大L:“是的,微软就是经历了Windows XP在架构设计,开发测试和发布运维期间没有成熟的安全解决方案而导致安全问题不断,比如2000年左右上大学的那一批人能感受到的‘震荡波’和‘冲击波’,可以说是’人在宿舍坐,机从网上关’。一时间负面口碑不断,后期投入很多人力财力等去逐步解决的;痛定思痛之后,摸索出来这么一套软件安全开发最佳实践。”
说罢,大L用手机迅速搜到如下图片并给大家展示了一下:
(图3,没有SDL之前的XP系统漏洞及危害)
就在这时,传来了列车播音:“亲爱的旅客,列车已经到达缘由站,期间停车2分钟,有需要下车的旅客请……”