做的比较好的地方是Security Development Lifecycle,是安全开发生命周期,这个实践不仅在微软应用了十几年,现在在业界很多公司都已经推出去了,还是比较有效的一个实践。它的中心思想就是要把安全打入ICT产品研发的流程里面。因为如果依赖安全测试团队和第三方外部的安全公司,最后做这些检测实际上已经晚了,那样投资会非常大,而且会发现问题很多,也不好改。安全最好的办法就是我们讲在安全生命周期的最上游,越往上游做,安全越有效。我就不细讲了,在这个周期里面有很多的阶段,比如培训、要求阶段,设计、实施、验证、回应,大家可以到微软的网站上有很多材料。如果大家需要培训,云安全联盟有一个专门的培训课程。