甲方在担任SDL期间，也在落地方面做了很多努力。第一，要看高层业务的脸色；第二，要装苦逼，扮猪吃老虎，这是一路走来的苦泪。话不多说，我们团队在SDL方向进行威胁建模和多维治理。本文作者将根据以往的治理工作，从0到1进行业务建设分析，给大家一个落地经验的参考。

SDL基本审计操作，在安全建设的初始阶段，我们将在赛前、赛后、赛后的基础上，着力完善和优化SDL的基础能力。事前审计，在事前维度，我们会以域名和服务密钥为单位对前后资产进行梳理，嵌入SOC进行运营管理，关闭安全审计流程。在项目上线之前，我们将在测试之前手动审查代码，并评估安全合规性的风险。

对于安全检查，一般包括:OWASPTOP10.常见SDL逻辑漏洞。此外，根据R&D的习惯，制定相关审核制度，开展重点检查，提高检测效率。

数据合规性将侧重于检查:数据接口是否脱敏。数据存储是否加密。传输是否加密。数据关联是否有安全问题。其中一些没有列出，将严格按照合规白皮书的标准执行。审核完成后，数据会保留在SOC平台上，检测员会督促业务生进行修复。如有延迟，系统工单将逐级推进，并通知其上级，直至业务方对闭环做出响应。虽然这些系统可能很难实现，但确实是必须的，需要自上而下的认可。只有把代码安全性指标，比如代码质量评估，加入到研发技术的KPI中，才能真正吸引大家对安全性的关注。

事项监督

在每个项目的大规模迭代期间，我们还将进行手动安全审核。除了迭代带来的安全问题，主要检查一些误加的在线测试数据，以及硬编码、弱密码配置、敏感数据打印等。因为当时的工具比较原始，除了使用半自动的代码审计工具(比如IDE、Fortify)之外，还读取第三方设备收集入库的日志，自己编写脚本进行过滤检查。当然，这些任务逐渐被连接到CICD管道的自动化平台所取代。