SDL100问：我与SDL的故事

01

—

关于SDL 100问

自从《SDL最初实践》在公众号上发布以来，已经四年多。从那时起，也创建了微信群“SDL专属交流群”，专题交流软件安全相关内容，现如今成员也有242人。总体来说，整体的交流质量达到了预期（倡导宁可不发言，也不要发无关的内容），基本做到了在垂直领域生根发芽。

1.1.命名构想

选择SDL、SDLC、S-SDLC中的哪一个加入标题？思考了许久，因为本身思维比较严谨、尊重原创以及为了简单好记，所以选择了微软提出的SDL（Security Development Lifecycle，安全开发生命周期），弃用S-SDLC（Secure Software Development Lifecycle，OWASP提出的安全软件开发生命周期）。

关于100的想法，最开始想到的是圆满，但又担心这个数字太大了，在保质的情况下难以完成。当分析到2019-12-15的聊天记录时，发现已经积累了59条，此刻担心瞬间变成了多余，后面应该是做减法至100条。至此，将两者凑在一块儿，文章的标题就此诞生了。

1.2.主要内容

该系列内容，主要取材于群聊天记录，结合个人对软件安全的理解、认知和实践经验，编撰而来。主要分为以下几个方面：

• 参考资料：业内规范、微软官网、技术博客、大会议题等分享的相关文章，均是由群友举荐，笔者从“有用”角度出发进行筛选，整合出一些高价值的资料；
• 安全工具：软件开发安全建设中用到的安全测试工具，包括但不仅限于威胁建模分析工具、黑白灰盒类漏洞检测工具、运行时入侵检测工具等，尽可能的总结出“好用”的工具链；
• 实践经验：群内基本都是从事或涉猎软件安全方向的同行，在入群前、本着信任的原则对群友们进行了简单的沟通。其中也不乏在互联网大厂、智能制造巨头实践过的前辈，他们的指点或点拨，对即将开始或已经开始的同行是莫大的帮助；
• 指导建议：针对群友的提问，有热心、有经验的人会出来回答问题，会谈到很多经验之上的原则和思路，笔者认为这来源于经验到又超脱经验，保守来说姑且归纳为指导建议。

02

—

文章的写作过程

2.1.组建分析团队失败

曾在微信群里发起过倡议，将群内容整理和沉淀。大家讨论比较热烈，有人提议建立一个小密圈，也有人建议做一个wiki…但到了想要拉人一起做的时候，人数降至了3人，再到了真正干活的时候，就剩下笔者孤零零一人。

2.2.处理群消息的困扰

差不多近四年的消息，最大的问题就是换了多次、多个终端，消息记录断了。好在微信自带消息同步、备份和恢复功能，所以在处理时是把多个移动终端备份到电脑上，再从电脑上还原到同一台手机。凑齐聊天记录之后，就是处理消息提取了。

最开始偷懒，用手滑手机、大脑思考并记录，这样效率太慢。于是乎就想提取全部的群消息，直接用电脑查看、搜索和粘贴，极大的提升了效率。不过中间踩了好多坑，不仅令人想到磨刀不误砍柴工，生命的精彩在于折腾等经典名句，并以此来激励自己坚持把分享《SDL 100问》这件事做下去。

2.3.内容的沉淀和升华

从最开始就想要定位：新人、老手看后都有收获，简单易懂有深度。这非常难，但是比较有做的意愿。先是提取了所有的聊天信息（19.12.15 ~ 23.12.31），其次是把有用的信息同时用眼睛和大脑过一遍、手工摘抄出来，设计分类目录进行分类，内容归并和提取，对外输出格式设计…整个过程拼的是体力，考验的是脑力。

03

—

爆发式分享计划

3.1.个人理解的分享意义

不想浪费自己的工作经验与感悟、不愿让群里大佬们的高质量交流被时间掩埋，于是结合日常工作中遇到的软件安全建设和运营问题，以问答和点评的方式整理成册对外分享，旨在为信息安全行业 - - 软件安全领域做出微薄贡献。

3.2.坚持持续打卡的目标

这个idea对行业而言微不足道，但是对个人的意义却十分宏大，想起来就令人兴奋不已。所以即使平时工作繁忙、早晚在家和节假日需要陪伴家人，但还是想倒逼自己开始并完成持续输出，计划每周简洁的输出5个话题，在未来五个月的时间里完成100问。

所谓的简洁，即是每次仅发一个问题或分享，尽量保留群里大咖的优质回答，并在最后做总结与点评。问题的选取维度及内容设计，主要有以下三部分：

• 有货疑问：有价值、有意义，对于希望从事该领域的同行们有帮助的问题，会被笔者筛选出来。当然了，也涵盖了笔者遇到的一些问题；
• 价值交流：建群之初邀请了一些领域内的前辈和高手，后来持续不断地涌入不少专家，他们贡献了很多有价值的观点和经验。当有疑问或不错话题时，也会不吝进行分享、留下了一些有价值的知识，本次内容将尽量保留“大家”的观点；
• 笔者点评：更加恰当的说，应该算是观点或知识总结。按照自己的思路和理解对以上QA发表意见，受限于个人经历、领悟所以也会存在一些不足，望读者朋友们不吝留言赐教。

04

—

附部分主题内容

4.1.安全工具

4.2.实践经验

4.3.指导建议

4.4.参考资料