提供SDL SaaS服務是降低SDL實施門檻、推廣SDL的必經之路

標籤：

《微軟SDL水土不服，國產SDL走向何方？》中提到了SDL在國內難以推廣的尷尬局面。

Janusec的安全研究員分析認為，造成SDL（安全開發週期）推廣難的主要原因有：
首先，缺少專業的安全人員。SDL是一項系統性的工程，其推廣和落地，在安全需求、安全設計、方案評審與風險評估、安全性測試、安全部署各個環節均離不開安全人員的參與，均高度依賴於安全人員的專業水平。SDL的眾多活動環節，需要不同的安全專業人員進行把關，而且需要建立相應的策略、標準、規範、模板或Checklist，以及建立相應的組織，明確角色和職責分工，這是一項比較浩大的工程。大型公司有較大的財力，能夠聚集一批安全人才，逐步建立起適應各自業務的SDL體系；但中小公司往往聚焦在業務上，沒有太多精力關注安全，也沒有招募大批安全人才的意願，難以建立起一個滿足SDL基本要求的團隊。SDL這套體系本身，也只有親自實踐過SDL的安全人員，才能有比較深的理解和體會。缺少這類人才，實施SDL的這道門檻就難以跨越過去。

其次，實施及營運成本太高。SDL的相關諮詢服務，以及相關IT產品（包括專案管理類產品、IT服務管理類產品、SOC或安全應急響應類產品）的引入、改進、實施、營運，均需要較高的成本，以及維持團隊的日常運作，對於中小型公司來說不是一筆小數目。

因此，要降低推廣SDL的難度，就要降低對專業安全人員的過度依賴、降低實施的成本。Janusec認為，提供SDL SaaS（軟體即服務，即直接提供基於SDL的線上安全開發週期管理平台）服務是降低SDL實施門檻、推廣SDL的必經之路。使用SDL SaaS服務之後，可以降低對專業安全人員的依賴，也節省了採購SDL諮詢服務，以及專案管理、IT服務管理等產品的費用。

鑒於此，Janusc決定簡化SDL並提供免費的SDL SaaS服務，將”專業安全人員”這個角色和實施SDL所需的相關IT產品轉移到SaaS服務提供者，直接提供安全最佳實務，以線上Checklist的形式提供，在流程中，直接建立本階段對應的安全任務，使用Checklist自檢 + 複核/風險評估 的模式，大幅降低安全落地的難度。它源於SDL（安全開發週期）方法論，但又不拘泥於SDL的限制，將它和國際/國內巨頭公司的專案管理實踐結合起來，從源頭開始進行安全控制，通過規範的專案管理過程和關鍵任務的引入，確保開發設計及部署過程中遵從安全最佳實務，保障所交付產品在全生命週期過程中的安全性。

附件：
提供SDL SaaS服務是降低SDL實施門檻、推廣SDL的必經之路

提供SDL SaaS服務是降低SDL實施門檻、推廣SDL的必經之路