企业网络安全最佳实践指南(六)

二、网络安全生命周期

网络安全保护的核心对象是应用系统，探究应用系统的生命周期，从应用的设计、开发和测试到应用的上线、运营和下线，全流程介入，经网络安全的工作提前进行，做到软件工程的前面，最大程度的降低和减少应用系统的风险漏洞。

对于网络安全全生命周期的阐述，实际上早期的SDL安全开发生命周期和新近的DevSecOPS都是差不多的思想。

安全开发生命周期（SDL）即Security Development Lifecycle，是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 自2004年起，微软将SDL作为全公司的计划和强制政策，SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动，以减少软件中漏洞的数量并将安全缺陷降低到最小程度。安全开发生命周期 (SDL)是侧重于软件开发的安全保证过程，旨在开发出安全的软件应用。简单来说，SDL是微软提出的从安全角度指导软件开发过程的管理模式，在传统软件开发生命周期 (SDLC) 的各个阶段增加了一些必要的安全活动，软件开发的不同阶段所执行的安全活动也不同，每个活动就算单独执行也都能对软件安全起到一定作用。当然缺少特定的安全活动也会对软件的安全性带来影响。

上述图片非原创，微软SDL安全活动简图

DevSecOps相比SDL，其所关注的周期领域较短一些，主要聚焦DevOps持续交付过程中增加Sec安全这一缓解，是对DevOps的一个补充。我们知道，DevOps 不仅仅涉及开发和运维团队，其目的是为了实现快速的交付高质量的软件，而如果想充分发挥出 DevOps 的敏捷性和响应力，就必须将