洞源实验室 | 网络安全实践与AI安全探索

在传统的瀑布流开发模式中，每个阶段都会小心翼翼、亦步亦趋地执行和完成，对于系统设计而言更是如此，从需求说明书，到系统设计说明、功能设计说明、详细设计说明，每个步骤都需要明细、详实的文档来说明之后的实现该怎么做，为之后的项目执行铺路。笔者实习期间参与开发的一个软件系统，从夏天开始的项目一直持续到第二年春天，需求分析和系统设计便用去了3个多月，敲下第一行代码的时候已经是冬天了。 在瀑布流的开发中，软件

前言信息行业的实践有诸多借鉴现实世界，软件工程之所以称为“工程”，是早期借鉴土木工程的原因，直到后来人们才认识到软件开发本质上是无法精确衡量的，这与现实世界中的工程有着天壤之别，保罗·格雷厄姆用画家来比喻软件开发工程师，用画画来比作软件开发，软件开发与工程类的差异由此可见一斑。 由于软件开发和工程行业的差异，在软件开发过程中强化安全能力、解决安全问题便无法纯粹使用工程手段或技术手段解决，而土木工程

信息安全工作，总会被人分成甲方和乙方，甲乙方原本只是商务层面需方和供方的代称，在安全领域，成了做公司内部安全和为客户提供安全的区别。 通常意义上，什么是甲方安全人员呢？就是在非安全业务的公司从事信息安全工作的人。什么是乙方安全人员呢？就是在主业是安全业务的公司从事信息安全工作的人。由于多年以来的刻板印象，似乎技术人员都不大倾向在乙方工作，对于乙方安全工作的印象是： 工作贼多、收入贼少、福利稀少、

SDL概述SDL是2004年开始，微软在全公司内部推行的安全开发生命周期（Secure Development Lifecycle），以在软件开发各个阶段保障信息安全，加入隐私保护，降低软件中的安全漏洞数量、严重性以及隐私违规，避免发布后的产品遭受恶意攻击，以及隐私问题造成的违法事件。 对于具备以下一个或多个特征的应用尤其应当实施SDL： 在业务或企业环境中部署； 处理个人可识别信息（PII）

CIO在国内企业而言是一个不常见的岗位，多数人甚至是只闻其名，不知其意。CIO的全称是首席信息官，和CTO不同的是，CIO的工作职责主要面向企业内部，如果说CTO是直面业务挑战，全局负责技术工作，那么CIO就是面向企业内部信息，全局负责信息化工作。 CIO的主要职责包括： 三方信息系统评估/采购企业内部合规企业信息化建设/管理云环境评估/采购/管理信息安全