洞源实验室 | 网络安全实践与AI安全探索

安全发布是产品或项目的正式发布或正式上线活动，这意味着一旦发布完毕，所有的用户都可以看到和使用产品，如果被发现有安全漏洞或遇到安全攻击，其影响可能会涉及到所有的用户，轻则影响产品或公司形象，重则影响公众对于产品或公司的信任，甚至产生财产损失。 在SDL模型中，安全发布涉及到三个活动，分别是事件响应计划、最终安全评析以及发布/存档。 事件响应计划是公司安全部门应当具备和准备的能力和方案，不

在软件开发生命周期（SDLC）的测试或验证阶段，不同的企业因为团队或者业务模式的区别而选择不同的做法和设计，单一的安全验证流程并无法满足所有的测试场景或验证场景。 比如，有的企业会有测试环境、预生产环境和生产环境，有的则只有测试环境和生产环境，有的甚至还会细分到开发人员本地的单元测试环境；测试环境的构建中，有的团队会要求开发人员本地测试通过后构建Docker镜像包，再通过诸如SonarQube等测

安全实施的工作针对的是研发团队以及研发过程，之所以称为实施，是因为在该过程中不仅涉及到开发工作，还涉及到包括编码规范、工具使用以及静态代码审计等非具体开发类的内容。 在SDL的安全实施步骤中，主要有三个部分的内容： 采用恰当的、安全的开发工具； 采用合理的、安全的开发库或API； 实施静态代码审计，即静态分析。 使用恰当的、安全的开发工具可以避免由于开发工具自身的合规问题和漏洞问题导致企

现在的软件正在逐渐定义一切，软件的形态也逐渐多样化，不仅仅是电脑或手机中看到的应用程序或App是软件，硬件设备等很多看不到的地方也正在有软件的构建和参与，比如汽车、电视、飞机、仓库、收银台等等，除了传感器之类的电子元件之外，硬件和软件的动作和数据都需要软件的参与，代码或多或少，形态或隐或现。 无论是什么样的软件，在开发过程中都会面临着Bug的发现和修复，而大的Bug往往能够在出厂之前或部署之前被开

在接触不同的客户中，发现很多客户在采购安全产品后，都面临一个同样的问题：不知道如何落地，或如何规模化的应用到企业内部。公司规模越大，这样的问题越明显，而主管和负责安全的人往往缺少相关的经验，或缺少非安全工作的经验，一旦做不好，不仅没有能够将安全水平提升，还会面临其他部门的埋怨，比如研发部门或测试部门向公司上层投诉，称安全部门采购或使用的某某产品导致研发进度受阻、效率降低，或影响测试效果和测试进度，

现如今，很多企业都在谈信息化，谈数字化转型，也有很多公司专门设置了IT部门或信息化部门来负责企业的信息化或数字化转型。这个过程中，怎么样做才是信息化，做到什么样才是数字化，以及如何推动信息化是相关的负责人首先要考虑的。 信息化和数字化，在狭义的层面是一个概念，简单地说是将线下的工作搬到线上，让原本人对人的工作变为人对系统或人对平台，但在广义的层面上，信息化比数字化的概念要大，如果说数字化代表的是线

从开始领导团队，到现在差不多有10年的时间，这期间在不同的公司都曾经负责技术团队的建设和管理工作，无论在哪家公司，无论公司规模有多大，自己的团队规模都不太大，少则3-4人，多则也不过10多人，而自己的团队也都在每年的工作中表现的还算不错。 技术团队相比其他类型的团队，独有的特征在于技术人员的性格和心理，性格上多数较为腼腆、内向，但又聪明、机灵，因为有一技傍身或对技术的偏爱，对于工作中对于技术工作之

在传统的瀑布流开发模式中，每个阶段都会小心翼翼、亦步亦趋地执行和完成，对于系统设计而言更是如此，从需求说明书，到系统设计说明、功能设计说明、详细设计说明，每个步骤都需要明细、详实的文档来说明之后的实现该怎么做，为之后的项目执行铺路。笔者实习期间参与开发的一个软件系统，从夏天开始的项目一直持续到第二年春天，需求分析和系统设计便用去了3个多月，敲下第一行代码的时候已经是冬天了。 在瀑布流的开发中，软件

前言信息行业的实践有诸多借鉴现实世界，软件工程之所以称为“工程”，是早期借鉴土木工程的原因，直到后来人们才认识到软件开发本质上是无法精确衡量的，这与现实世界中的工程有着天壤之别，保罗·格雷厄姆用画家来比喻软件开发工程师，用画画来比作软件开发，软件开发与工程类的差异由此可见一斑。 由于软件开发和工程行业的差异，在软件开发过程中强化安全能力、解决安全问题便无法纯粹使用工程手段或技术手段解决，而土木工程

信息安全工作，总会被人分成甲方和乙方，甲乙方原本只是商务层面需方和供方的代称，在安全领域，成了做公司内部安全和为客户提供安全的区别。 通常意义上，什么是甲方安全人员呢？就是在非安全业务的公司从事信息安全工作的人。什么是乙方安全人员呢？就是在主业是安全业务的公司从事信息安全工作的人。由于多年以来的刻板印象，似乎技术人员都不大倾向在乙方工作，对于乙方安全工作的印象是： 工作贼多、收入贼少、福利稀少、