goSDL - Slack Secure Team 发布的安全评估工具

查看原文

本文是 Slack 的一篇工程博客,讲述他们内部推行的一个关于 Security Development Lifecycle (SDL) 的工作流,旨在帮助安全团队更好地评估业务代码。简单来说,就是通过 goSDL 这个工具在 slack / jira 这些工具中间回答问题,勾掉 checklists,这些问题和任务都是和安全相关的注意要点。这个工具本身也在帮助安全团队更好地调整选项和问题,用来提升开发效率和安全评估。

衍生思考:其实比较想拿到他们评估的那些问题都有哪些,这个工具本身并没有太大的技术难点。很多企业做开发前后都有安全评估的环节,其实程序员们并不是不想搞安全,只是要注意的细节实在是比较不容易想到。