转眼5周结束，默安科技发起的“安全开发大讲堂”主题直播将告一段落。本文是最后一讲的直播回顾，主讲老师是业内低调的安全开发“全栈”大佬。

 回看视频移步默安科技公众号推文：《3类企业的SDL建设roadmap | 收官课回顾》

本次分享分为3部分

01 如何评估SDL做的好坏

02 三类企业的SDL建设路线图

03 简单探讨SDL与DevSecOps的区别

01 如何评估SDL做的好坏？

BSIMM-10

BSIMM与SDL匹配度较高，能够帮助目标企业客观地看到自身与行业整体软件安全的成熟度差异。第10版共包含119项活动和4个区域：治理、情报、SSDL触点、部署。以下所列出的4个区域的活动是根据SDL具体实践经验做过删减的版本。这个简化版本基本能对SDL实践情况给出一个较客观的参考。

如果单独针对SDL进行评估， BSIMM适用性不强，但很多企业在某些角度上也在使用，因此简单提及。

SAMM-2.0

OWASP在2020年2月发布了一个最新的SAMM2.0版本。2.0版本不但适用于传统的瀑布和迭代开发模式，还纳入了敏捷开发和DevOps，涵盖的范围较全面。该模型分为概览、入门、工具箱、基准4部分（详细介绍参见原PPT中的超链接）。这里重点介绍“概览”和“工具箱”部分。

（1）概览

SAMM成熟度模型包含5个大方向（治理、设计、实施、验证、运营）和15个域（战略、政策合规、教育指导、威胁评估、安全需求……）

每个域分为两条线StreamA、StreamB进行评分，AB关注点不同，举个栗子：

“安全测试”分为streamA、streamB两条线，A线属于基准要求（1级：使用自动化安全测试工具；2级：使用特定应用的安全测试自动化；3级：将自动化安全测试集成至构建和部署流程），B线属于深入的需求（1级：对于高风险组件执行人工安全测试；2级：执行人工渗透测试；3级：将安全测试集成到开发过程中）。

（2）工具箱

官方给出Excel和Web两个版本的工具箱，个人认为Excel更为实用。我根据个人过去几年的经验，对于常见企业的SDL建设状态，做了一次SDL实践评估，得出以下分析结果。

SAMM excel评估表默安科技已有汉化版本。

获取方式：“默安科技”公众号后台回复“直播”获取汉化版的SAMM excel评估表和全套直播PPT。

02 3类企业的SDL建设路线图

“3类企业”如何划分？

如上图，我将企业类型简单分为A、B、C三类（涵盖不了全部情况，这里粗略划分），划分维度有两个：一是“安全角色在哪里？”（安全部门权限）；二是“安全团队的规模”（我有多少兵去做这些事）。

A类：没有独立安全部门，少量安全岗位一般嵌入运维、测试部门，很多安全工作需要外部供应商支持；

B类：与开发团队合作密切，或者相对独立的安全团队；

C类：完全独立的安全团队，与产品、开发、运维等兄弟部门平级，有高层角色。

A类企业SDL Roadmap

不要被图吓到，就像技能树一样，中间主线是SDL开展的标准环节。上下方的方框代表建设SDL中绝大部分主要的内容和安全活动，分为文档、工具、人工工作和一些度量指标，如果达到一定的程度，方框和连接线也会变成彩色。

浅黄色表示A类企业初步执行的安全工作，主要覆盖的是实施、验证、发布3个环节，如渗透测试、SAST、DAST和安全防护设备WAF等；深黄色表示A类企业下一步的安全工作，还是集中在这三个环节中，包括安全编码规范、代码审计、IAST、资产安全检查等；灰色部分对A来说则很难有资源实现。