- SDL简介 - 项目生命周期中的安全风险 - SDL如何介入研发发流流程程 - SDL的最佳实践 - Q&A

从项目研发的各个流程中可能潜在的安全问题进行深入分析同时给出一些可行的解决方案，包括系统设计评审阶段，上线前的白盒审计及黑盒测试，上线流程的运维安全等方面。整体思路方面，首先配合乌云十多万漏洞积累中的一些典型 case 的分析抛出对应存在的潜在风险，然后对这些潜在风险进行一个深入剖析，最后对应给出每个流程中对应问题的解决方案。最后会对整个研发安全问题的发展趋势进行分析，同时包括一些针对性解决方案的

近年来，国内外互联网安全事件层出不穷，惨痛的教训让大家越来越重视安全，其中应用本身的安全性是极其重要的一部分。虽然企业已经采取了一些安全措施，然而大多数做法都存在或多或少的问题，主要表现在安全问题反馈周期太长，反馈速度慢，第三方渗透测试的局限性以及被动的应对安全问题等。为了更高效的提高应用的安全性，除了有必要对传统的安全措施进行加强之外，还需要在开发流程中引入一些安全实践，例如威胁建模，自动安全扫

苏宁易购作为一家互联网电商，面临着每月数百个项目迭代更新与产品发布。而没有一家大型电商的安全工程师们可以对每个发布上线项目进行安全服务与安全跟踪。一直以来互联网中各式各样的匿名者，通过软件安全漏洞、业务逻辑漏洞、人员工作疏漏，将灰色之手，伸向电商企业，并可持续逍遥法外很长一段时间。 我们从安全攻防角度，以风险控制思想，引入研发安全体系，参考研发安全管理、信息安全管理体系、研发安全最佳实践等理