互联网企业安全高级指南3.7.3　因地制宜的SDL实践

1. 重度的场景

对于公司内研发的偏底层的大型软件，迭代周期较长，对架构设计要求比较全面，后期改动成本大，如果安全团队人手够的话，这种场景应该尽量在事前切入，在立项设计阶段就应该进行安全设计和威胁建模等工作。相比在事后贴狗皮膏药，这种事前的时间投入是值得的，门槛主要还是人。

对于较大软件的“大版本”，包括每个产品初始版本，还比如标杆产品的1.0到2.0类似这种里程碑式的版本发布，修改和增加了很多功能点，甚至修改了底层的通信协议，这种也需要较完整的SDL，当然这种版本跳跃有时候只是对外的一种营销手段，不一定是技术上的大修改，这个就要看实际情况了。

2. 轻度的场景

对于架构简单、开发周期短、交付时间要求比较紧的情况，显然完整的SDL就太重度了，这个时候，攻防驱动修改就足以解决问题。

其他的诸如小版本发布，技术上没有大的修改，也没必要去跑全量SDL，否则就太教条和僵化了。

阿里云发布《云上创新指导手册》 2022年11月5日，以“云上成就创新梦想”为主题的中小企业云上创新论坛在浙江杭州云栖小镇举行，论坛聚集政府、资本、媒体、机构等相关领导、专家、和投资人等，畅谈云上加速创新趋势。现场，阿里云重磅发布《中小企业云上创新指导手册》，将阿里云对中小企业创新的阶段洞察、以及助力中小企业云上创新的产品技术、解决方案和服务百业的最佳实践集结成册。
内附PPT下载 | 肖力：企业安全体系发展与最佳实践 阿里巴巴副总裁、阿里云安全事业部总经理、阿里巴巴集团第一位安全工程师肖力为大家带来企业安全体系发展与最佳实践的介绍。内容包括企业安全体系的演变，阿里在整个企业安全体系各个基础风险域当中的一些最佳实践，以及云计算对安全体系的影响。
宜信SDL实践：产品经理如何驱动产品安全建设 本文从产品经理的角度出发，对产品经理的安全职责、产品驱动安全的内涵、工作内容、工作方法、所需安全资源、以及产品经理的安全工作量进行了分析。
众位专家谈云计算环境的安全策略 本文讲的是众位专家谈云计算环境的安全策略，使用云计算环境的外部网络可以获得异地存储备份的优点，但同时也带来了一些危险：各种病毒、垃圾邮件、恶意软件和身份窃贼是你可能面临的一部分威胁。
一篇文章读懂企业如何升级到云安全体系 本文讲的是一篇文章读懂企业如何升级到云安全体系,本文为青藤云安全供稿，青藤是国内首家自适应安全提供商，自适应安全是为数不多的云安全落地解决方案。