SDL序列课程-第3篇-乙方人员如何站在甲方视角看待SDL项目

乙方人员如何站在甲方视角看待SDL项目

安全开发生命周期 (SDL) 是侧重于软件开发的安全保证过程。在 Microsoft，自 2004 起，SDL 作为全公司的计划和强制政策，在将安全和隐私植入软件和企业文化方面发挥了重要作用。通过将整体和实践方法相结合，SDL 致力于减少软件中漏洞的数量和严重性。SDL 在开发过程的所有阶段中均引入了安全和隐私。所以接下来会讨论乙方人员如何站在甲方视角看待SDL项目的落地。

1.乙方公司喜欢以快餐式的项目进行规划和运作项目，规划时间太紧凑

为什么要这样子说呢?因为很多乙方在帮甲方规化SDL项目进度时，把很多事情想的太理想化，为何说太理想化呢?

首先，SDL项目比较小众化，很多甲方安全从业人员也许听说过SDL，但是没有真正接触过;

在这里对甲方人员进行一个划分：金融行业、民营企业、国企。金融行业相对其他行业目前来说对SDL项目还是存在一定的认知，首先金融行业有钱，可以用钱挖掘很多优秀的人才，而且很多从业SDL乙方人员慢慢转型跳槽到金融行业;民营企业很可能不现实，你很难预估，首先是价格问题，IT信息化在整个企业的占有比的重要性，民营企业的老板兜里很惦记。国企，很多国企做这种项目，第一国企很多技术人员的技术参差不齐;第二可能为了迎接潮流，赶上好的时代;第三个可能有足够的资金去玩一下新花样，大家都懂。

所以说，乙方人员在规划SDL项目时，都是以自己套餐式的思维去规划项目。实际上很少针对对企业进行思考，会习惯性把项目对接人想的具有IT专业能力的人士来对待。这当然不完全是乙方的问题，因为乙方人员很习惯性这样子规划项目。

2.乙方公司太高估企业的管理能力

在有必要的情况下，需要了解一下企业的高管管理团队，为什么这样子说呢?相当部分企业内部存在管理团队明争暗斗的情况，如果遇到这个情况，整个项目是很难推荐，甚至有时候会成为某种关系的牺牲品。实际上与乙方技术关系不太大，但是乙方的商务在这个时候起到比较重要的地位。所以在项目落地时，有必要去考虑这些因素。

3.乙方公司高估了信息部门人员的能力

信息部门人员有时候在一个企业里面比业务部门弱势，业务部门有时不配合实施;开发人员很多不太愿意按着规划性的文档进行开发，会给开发带来很多工作量，我相信没有一个开发人员愿意看几十页甚至几百万的标准化文档;安全部门人员数量比较少，推荐项目需要综合考虑各种因素(比如：对接人员出差，生病，请假等);甲方人员在企业习惯性的慢节奏，有时候5*8就结束工作，下班时间并不会理会项目等原因。

4.甲方项目预算的投入

项目预算投入是整个项目比较重要的一个环境，一个好的项目就看项目预算的投入，简单的说，成也是预算，败也是预算。如果一个企业想把一个复杂的项目当白菜价来实施，往往结果很明显。往往想做好一个SDL项目，需要投入2-3年的时间去磨合(比如：开发团队、财务团队、人力资源团队)团队等。

5.乙方人员自身的能力

乙方项目经理在规划项目时，有时缺少对SDL项目实施团队人员情况的思考与判断。第一，乙方团队的人员技术水平也存在岑差不齐的情况;第二，项目组的人员的能力是否匹配企业对SDL项目提出的需求;第三，人员调动的情况(比如：离职)，项目交接时，存在一定的时间差;第四可能存在外包的情况，项目对接的不顺利。

个人理解SDL项目是需要在企业内部不断进行一个迭代，才能衍生出适合企业的一个安全开发生命周期的流程。当然，以上说的仅仅是能力问题，事实上有更多不可控因素，尤其是企业大环境的变化，这是非常难以预估的。除此之外，配套的资源和能力相对来说比较容易评估，但规划时考虑得不够，比如企业管理的水平，流程、数据的规范性，业务部门人员的能力等等。安全开发生命周期(SDL) 是一个相当复杂的流程，想做好一个软件安全开发项目，需要一个企业不断的持续的投入才有显著回报。

6.以上观点存在一定的差异化,每个人的观点不同,站的视角也不同,作者存在一定性的扯淡,未必是正确的!如果你看完文章之后,有更好的建议,欢迎在后台交流.