老司機帶你玩轉SDL
——第一站“緣由”
啦啦啦,啦啦啦
我是SDL的老司機
大廠小廠曾呆過
今天的內容真正好
帶着大家把SDL玩轉了
…………
伴隨着類似聶耳《賣報歌》風格的如上神曲中,我們這趟“ (軟件)安全開發生命週期(Security Development Lifecycle,以下簡稱SDL)”之旅啓動了,歡迎同學們踊躍參加啊,相信它是一趟有益有趣的技術之旅,方法之旅,思想之旅。
01、旅行團
那麼問題來了:這趟SDL之旅,會有哪些人員參與呢?先簡介如下:
老C:參與計算機和互聯網的基礎架構建設超過30年的老兵,功底紮實,能力超凡;見證IT業太多興衰榮辱,技術變遷和滄海桑田,但現在常給人一種難溝通和老掉牙的感覺。
大J:在軟件開發和項目實踐一線奮鬥了20多年,爲人親和,與人溝通和做事都幹練有效,是公司的中流砥柱之一;喔,對了,大J據說是出身名門的大家閨秀。
大L:就是本文作者我了,工作近20年,跟老C等在很多項目中學習和實踐過SDL,玩轉過虛擬化和雲計算;爲人本分實在,近來口頭禪是‘見天地、見衆生、見自己’,哈哈,這樣說來有點裝啊。
小A:近10年開始活躍和閃光,目前集千萬人寵愛的人小鮮肉帥哥,據說他是來自大洋彼岸的富二代,但他低調的我們一點也看不出來,反而常感受到他的不斷精進和完善。
當然,一路上可能還有其他人受影響、被忽悠或上錯車,加入此SDL之旅的。歡迎歡迎,人生和旅程一樣,正是因爲充滿太多的不確定或意外,才更有意義啊。
同時需要說明的是從下面開始,我們站在“上帝視角”(文字描述就變成第三人稱)來觀察和記錄此旅行團的所有言行事件,故本次旅程的始作俑者和嚮導我搖身一變,成了故事中的大L,也踐行上面所說的“見自己”。
02、旅程
大家剛把行李擺放好,一行四人圍坐在臥鋪下面的小桌子旁。
列車已經緩緩啓動,此時傳來了列車播音:“親愛的旅客,列車已經出發,下一站是緣由,緣由位於我國……”
這時老C就發話了:“L同學,你邀請我們參加這趟SDL旅程,你還自詡是老司機,那一路上會經歷哪些站點呢?你要給大家說一下啊!”
大L:“初步計劃,我們的旅程會經過緣由,思想,建模,工具,實踐上,實踐下和回顧一共七個站。”
03、治未病和高質量
話音剛落,小A就問道:“L哥,我想問一下,緣由這個站,感覺有點意思,你先介紹一下吧!”
“好的。”大L停頓了一下,緊接着說:“這就要容我慢慢說了。首先,你讀過《黃帝內經》沒有?”
小A:“沒有。”
大L:“沒有也關係,我讀過一點《黃帝內經》,該書《素問•四氣調神論》篇,有‘是故聖人不治已病,治未病,不治已亂,治未亂,此之謂也。夫病已成而後藥之,亂已成而後治之,譬猶渴而穿井,鬥而鑄錐,不亦晚乎?’”
“天啊!”小A叫了起來,“L哥,你能不說這麼文鄒鄒的嗎?”
大L笑了:“那你聽說過在北京召開的十九大會議上,已經明確指出我們的社會由高速發展階段到高質量發展階段的斷論嗎?”
小A驚訝了,“我的L哥啊,你能不扯這麼遠,不說這麼高大上的話嗎?”
剛纔還在微笑的大L此刻有點臉紅了。
04、大J解讀
這時在旁的大J發話了:“L說的高遠有內涵,但大多數人一下子難於理解和接受。”
然後她直視小A,繼續說道:“他提到《黃帝內經》裏的一段話語,強調的是設計系統也好,開發軟件也罷,都如同我們的身體一樣,最重要的是通過鍛鍊、休息和飲食等健康管理達到不生病的狀態,而不是放縱生病了再去醫治。我因爲參與項目開發和管理,上過不少課,記得有一張解決安全問題成本的量化數據表。”
說完,大J用了不到三秒的時間,從攜帶的筆記本里翻找和展示瞭如下一張圖:
(圖1,不同階段解決安全問題的成本)
“經J姐這麼一說,我理解了。那他後面說的‘由高速發展階段到高質量發展階段’這話又是什麼意思呢?”小A如是問。
大J:“我想他是表達我們做產品做軟件,不能粗製濫造,強調要出精品。當然,他是從事多年安全的,那就是說安全很重要很必要,安全做好了是產品和服務的核心競爭力。”
05、大L解讀
“對頭,還是人見人愛、花見花開的J姐好啊!”大L接着說:“除了J姐剛纔說的,我還想到了現在我們智能設備、互聯網入口公司,已經是存量市場而不是增量市場了,所以我們真的需要用心做精品,做一流。因爲存量市場競爭比增量市場競爭更激烈,需要更好的產品和服務去打動用戶,去爭取用戶。而互聯網時代,安全灰(非)常重要,是一個公司,一個團隊,職場個人的核心競爭力之一啊。”
“很有道理的樣子。”小A說道:“那L哥你能不能進一步給我們闡述一下呢?”
老C也說道:“L同學,你就用你善於從不同層面和緯度看問題的方式,給我們大家講一下,讓我們也看看你這個SDL老司機的理解和認識究竟是如何的。”
“好吧,我就勉爲其難,給大家介紹一下。”大L面露開心,緊接着說:“通過剛纔大夥的聊天,我發現說話要直白接地氣,那我就拿現實中的人和事來舉例說明吧!”
06、SDL與個人
大L面對着小A,說道:“小A,你剛工作兩年,在房價貴如金的深圳沒買房吧,沒買房是因爲錢;可是,你有想到過解決辦法嗎?”
小A:“L哥,你說對了,沒錢所以沒買。你說的解決辦法,我也想過啊,就是多賺錢。”
“沒錯,是要多賺錢。” 大L繼續說:“多賺錢,我認爲咱們得有賺錢的能力,這能力就是能給企業或社會做出貢獻,我們纔有相應的回報。說白了就是要有競爭力,你說是不是?”
“對,我的哥。你這麼一說,我明白了。你想說的是擁有安全技術,掌握SDL有利於我們每個上班族提高競爭力。”小A如是說。
07、SDL與團隊
大L:“你理解得非常到位,我還要說,掌握和玩轉好SDL有利於團隊競爭力和輸出。”
小A:“Why?”
大L:“我們很多人都知道或學習過軟件工程,它可以從多個角度去理解。比如可以理解其強調的是技術和管理兩條腿走路;也可以理解它是把軟件系統從需求,到設計,到開發測試和發佈運維整每個過程規範化,把很多看不見摸不着、容易發生變化的活動顯性化、穩定化。”
小A:“L哥,請你再說詳細一點!”
大L:“SDL就是提升軟件安全性的一種軟件工程,或者說它是軟件安全性的最佳實踐。它也強調從管理和技術兩個層面入手,保障和提升軟件安全質量;它完全符合當今各家公司在使用的IPD(Integrated Product Development, 簡稱IPD)過程,在IPD過程中的多個環節,植入安全活動,提升軟件的安全性。”
小A:“聽你這麼一說,我想了想IPD過程中的需求調研,架構設計,到開發測試和發佈運維,還真是這麼一回事。”
這時大J補充道:“是的,L同學說的沒錯,我個人從事項目實踐和管理多年,也深深理解和踐行了IPD,我們是通過控制過程來保障輸出,技術和管理並行的。因爲一個團隊、一個項目必然有目標,有分工合作,溝通協調的,這時就需要規矩和方法去保證輸出質量。”
“SDL就是一個確保軟件安全的規矩和方法,它能讓一個團隊有儘可能好的輸出!”大L迫不及待地補了一句。
08、SDL與公司
“哈哈!”小A笑了,接着說:“那L哥,你說的它還能讓一個公司收益,這話會不會有點誇張了?”
“不誇張!”大L說道:“剛纔我說過,我們智能設備、互聯網入口公司,已經是存量市場而不是增量市場了,所以我們真的需要用心做精品,做一流。因爲存量市場競爭比增量市場競爭更激烈,需要更好的產品和服務去打動用戶,去爭取用戶。所以進一步,一個公司把產品和服務的安全提升了,就能保護用戶利益,符合行規和監管要求,這樣就能直接或間接贏得用戶,維護產品口碑,提升公司形象。豈不美哉!”
說完,大L迅速打開身邊的筆記本,大約在三分鐘時間內,搗鼓出如下一張圖:
(圖2,SDL與個人,團隊和公司的關係)
衆人看完其打油詩和圖示,雖感覺用詞有點搞笑,但也暗暗驚歎其有邏輯有層次。於是紛紛笑了,此刻,小組上空洋溢着一種歡快的氣氛。
09、SDL與它爸
聰明的小A看了一會手機,好像是搜索了什麼,然後擡頭面對大L,說:“L哥,經剛纔你們這麼介紹和展示,我受益匪淺,也看了一下資料,原來這個SDL還是源自軟件業界坐第一把交椅的微軟公司。”
大L:“是的,微軟就是經歷了Windows XP在架構設計,開發測試和發佈運維期間沒有成熟的安全解決方案而導致安全問題不斷,比如2000年左右上大學的那一批人能感受到的‘震盪波’和‘衝擊波’,可以說是‘人在宿舍坐,機從網上關’。一時間負面口碑不斷,後期投入很多人力財力等去逐步解決的;痛定思痛之後,摸索出來這麼一套軟件安全開發最佳實踐。”
說罷,大L用手機迅速搜到如下圖片並給大家展示了一下:
(圖3,沒有SDL之前的XP系統漏洞及危害)
就在這時,傳來了列車播音:“親愛的旅客,列車已經到達緣由站,期間停車2分鐘,有需要下車的旅客請……”