回望：我的首个十年网安路

时光荏苒~之前，看到很多人都感叹时间过得太快，这次轮到我了。24年的某一天，打开OA看自己的假期，意外发现即将有十天的年假，惊喜之余我渐渐陷入了沉思考：在过去的十余年中，从上海毕业、就业，到杭州工作，

2026 校招，我看到了安全行业的 “新生战斗力”

又到年终总结时，今晚（2025.12.16 22:23）挑灯回顾了今年的工作与生活，印象比较深刻、并且比较有意愿写下来，那便是：校招面试。也许是因为这项工作占据了我很多时间，并且刚阶段性的落幕；或许还

SDL100问：阶段性的完结

本文起草于23:29（2025年10月5日 星期日），在连续休息几天后，终于憋不住，还是想要写点东西。那时那刻，我正在很久没有回过的老家，白天去了十几年没见过的亲戚家，一起过了中秋节、十分开心。不禁感

SDL 100/100问：针对内部的高中低危漏洞，给业务部门多长时间修复？

SDL 99/100问：如何进行软件安全需求分析？

SDL 98/100问：针对业务部门外采购的产品，要求做安全测试吗？

SDL 97/100问：关于白盒测试，应该知道哪些正确观念？

SDL 96/100问：如何对软件项目的安全性进行度量？

SDL 95/100问：针对有漏洞的代码，安全怎么不让发版？

SDL 94/100问：针对开发安全管理的面试，一般都会问哪些问题？

SDL 93/100问：与外部厂商合作时需要外发敏感数据，有啥好方案？

SDL 92/100问：在测试代码审计类产品能力时，有没有好一点的开源项目推荐？

SDL 91/100问：什么是ASTRIDE？

SDL 90/100问：开发安全左移和右移，哪一个更好？

SDL 89/100问：如何推动业务方修复开源组件漏洞？

SDL 88/100问：源代码扫描，是做仓库的全量扫描还是增量扫？

SDL 87/100问：哪个厂商做SDL咨询服务和建设比较强？

SDL 86/100问：水平越权属于STRIDE中的哪一种？

SDL 85/100问：在推进SDL时，一般选择什么类型的员工作为对接人？

SDL 84/100问：国内是否有做安全基线的厂商或这个方向的专家？

SDL 83/100问：上传图片的API，除了常见web漏洞外，是否还会有风险？

SDL 82/100问：说到供应链，有没有第三方信息安全相关的法规或者标准？

SDL 81/100问：如何快速应急开源组件漏洞，比如fastjson？

【招同事】一起为安全产品保驾护航

从目前的就业环境来看，据说不太好。不过我的一些同事：有想回老家发展、结束了北漂，有的觉得年纪稍大了、想做稳妥规划等原因，在这时候选择了离职，所以就出现了两个岗位：应用安全工程师-安全测试；应用安全工程

SDL 80/100问：怎样算是IAST扫描，都有哪些模式？

SDL 77/100问：日常的漏洞运营，也应该是SDL团队来做吗？

SDL 75/100问：前期的安全设计与测试是否解决不同层面问题？

SDL 74/100问：有没有SDL相关的监管要求？

SDL 73/100问：如何定位安全培训？

DevSecOps实施关键：研发安全工具

很久以前，就想写一篇关于SDL与DevSecOps的文章，但疏于实践一直未能动笔。想写的原因很简单，因为总是听到有人说SDL落后、DevSecOps相关技术更高超。一提到研发安全建设，不分研发模式都在