如何建立一套软件安全开发体系，保障软件从需求到上线都有安全保障？

我们银行，也有用外员。我理解外员安全开发有两个层面意思：

一、访问安全，外员可以访问那些行内资源，比如可以看那些文档、可以参与那些开发、可以访问那些网络、可以访问那些服务器。这方面管理严了，效率低，管理松了有担心出问题。我建议是开发环境与其他行内环境隔离，源码按照角色控制范围范围。至于需求、设计，最好不要让外员参与，其实业务比代码值钱！否则你就没有什么商业机密了。

二、代码安全，外员要发挥作用，就要参与模块设计，参与编码，可能因工作需要还会引入一些第三方类库。因此要对代码安全、代码质量、代码可读性进行控制，否则即使不出安全问题，那天他离开了也够你头疼的。在这方面我这里是通过工具实现的，主要用了CheckStyle、Findbugs、PMD、CheckMarx，管理者几个方面。不过这几个工具都需要自己定制与集成。