SDL 92/100问：在测试代码审计类产品能力时，有没有好一点的开源项目推荐？

SDL 91/100问：什么是ASTRIDE？

SDL 90/100问：开发安全左移和右移，哪一个更好？

SDL 89/100问：如何推动业务方修复开源组件漏洞？

SDL 88/100问：源代码扫描，是做仓库的全量扫描还是增量扫？

SDL 87/100问：哪个厂商做SDL咨询服务和建设比较强？

SDL 86/100问：水平越权属于STRIDE中的哪一种？

SDL 85/100问：在推进SDL时，一般选择什么类型的员工作为对接人？

SDL 84/100问：国内是否有做安全基线的厂商或这个方向的专家？

SDL 83/100问：上传图片的API，除了常见web漏洞外，是否还会有风险？

SDL 82/100问：说到供应链，有没有第三方信息安全相关的法规或者标准？

SDL 81/100问：如何快速应急开源组件漏洞，比如fastjson？

【招同事】一起为安全产品保驾护航

从目前的就业环境来看，据说不太好。不过我的一些同事：有想回老家发展、结束了北漂，有的觉得年纪稍大了、想做稳妥规划等原因，在这时候选择了离职，所以就出现了两个岗位：应用安全工程师-安全测试；应用安全工程

SDL 80/100问：怎样算是IAST扫描，都有哪些模式？

SDL 77/100问：日常的漏洞运营，也应该是SDL团队来做吗？

SDL 75/100问：前期的安全设计与测试是否解决不同层面问题？

SDL 74/100问：有没有SDL相关的监管要求？

SDL 73/100问：如何定位安全培训？

DevSecOps实施关键：研发安全工具

很久以前，就想写一篇关于SDL与DevSecOps的文章，但疏于实践一直未能动笔。想写的原因很简单，因为总是听到有人说SDL落后、DevSecOps相关技术更高超。一提到研发安全建设，不分研发模式都在

SDL 72/100问：如何定位安全与业务的关系？

SDL 71/100问：按千行代码漏洞数进行量化，如何制定指标？

SDL 70/100问：业务系统是否可以带漏洞上线？

SDL 69/100问：大家都有哪些SDL运营指标？

SDL 67/100问：如何逐步建设XAST安全测试工具？

SDL 66/100问：安全测试，测不出逻辑漏洞怎么办？

SDL 65/100问：对移动客户端做安全测试，哪款工具比较好？

SDL 64/100问：安全SDK提供安全API是怎么做的？

SDL 63/100问：SDL如何做成平台化以及价值？

SDL 62/100问：如何处理扫描出的三方组件开源协议风险？

一个思考：安全测试驱动产品安全？

01—引言最近两天，有幸参加了“华为合作伙伴网络安全管理前移赋能培训会”，让我感叹大厂的强大、以及对合作伙伴的无私输出。会上的一些内容，引发了我对安全测试的深入思考。在与同事晚饭后，快速回了酒店。回想