查看原文

本文是 Slack 的一篇工程博客，讲述他们内部推行的一个关于 Security Development Lifecycle (SDL) 的工作流，旨在帮助安全团队更好地评估业务代码。简单来说，就是通过 goSDL 这个工具在 slack / jira 这些工具中间回答问题，勾掉 checklists，这些问题和任务都是和安全相关的注意要点。这个工具本身也在帮助安全团队更好地调整选项和问题，用来提升开发效率和安全评估。

衍生思考：其实比较想拿到他们评估的那些问题都有哪些，这个工具本身并没有太大的技术难点。很多企业做开发前后都有安全评估的环节，其实程序员们并不是不想搞安全，只是要注意的细节实在是比较不容易想到。