ThoughtWorks 刘庆华：内建安全的软件开发

近年来，国内外互联网安全事件层出不穷，惨痛的教训让大家越来越重视安全，其中应用本身的安全性是极其重要的一部分。虽然企业已经采取了一些安全措施，然而大多数做法都存在或多或少的问题，主要表现在安全问题反馈周期太长，反馈速度慢，第三方渗透测试的局限性以及被动的应对安全问题等。为了更高效的提高应用的安全性，除了有必要对传统的安全措施进行加强之外，还需要在开发流程中引入一些安全实践，例如威胁建模，自动安全扫描、安全功能性测试等，从而缩短安全问题的反馈周期，加快反馈速度，主动去发现并尽早解决安全问题。我们将这些安全实践系统化的组合起来，并称之为内建安全软件开发（BSI）。刘庆华，ThoughtWorks 安全专家，10 年的信息安全相关经验，15 年开发经验，曾就职于通信、电信及教育行业。熟悉 Web 应用安全、服务器安全、网络安全、加解密、Linux系统安全以及常见安全协议及美国军方安全认证，擅长入侵测试，威胁建模和风险分析等。现专注于推动安全开发相关的流程改进。