不同企业SDL建设对比与DevSecOps演进

"该文档是关于不同企业在软件开发安全生命周期(SDL)建设的Roadmap分析，主要引用了BSIMM(内置安全成熟度模型)作为评估标准。文档作者为何乐乐，内容涵盖了SDL的评估方法、不同企业的SDL建设路径以及向DevSecOps的转型。BSIMM模型分为12个实践模块和4个区域，共119项活动，通过这些活动的执行频率来衡量组织的安全成熟度。高成熟度的企业通常涵盖所有12项实践。文档还列举了一些具体的实践活动，如高管教育、合规性政策制定、培训、情报收集、标准和要求、安全性功能和设计、攻击模型、架构分析和代码审查等，旨在帮助企业构建全面的SDL策略。" 本文档深入探讨了如何评估SDL的质量，提出BSIMM-10作为可参考的评估标准。BSIMM模型将软件安全框架划分为119个活动，涵盖治理、合规性与政策、培训、情报、标准和要求、安全性功能和设计、攻击模型、SSDL触点（包括架构分析和代码审查）等多个方面。每个活动被分为三个级别，反映其在组织中的实施频率，一级表示最常实施，三级表示最少实施。 在SDL建设方面，不同的企业可能有各自的实施路径。文档指出，高成熟度的SDL计划通常覆盖BSIMM模型中的所有12项实践，并随着时间和经验的积累不断改进。这包括制定安全策略、在供应链中引入软件安全服务级别协议(SLA)、提供定制化的高级培训课程、控制开源风险、构建安全功能并参与架构设计，以及定期进行安全审查等。 此外，文档还提到了从SDL向DevSecOps的过渡。DevSecOps是一种将安全实践融入整个开发流程的理念，强调早期介入和持续集成，使得安全成为开发过程的一个自然组成部分。企业通过将SDL的实践与DevOps文化相结合，可以更有效地实现安全目标。 这份文档为企业提供了构建和完善SDL的实用指南，通过对BSIMM模型的理解和应用，企业能够评估自身安全成熟度，制定适合自身特点的SDL Roadmap，从而提升软件安全性和整体业务的安全水平。