[求助][讨论]如何开发安全的程序

zeroflag

缘起：
做了几年安全产品售前，大学毕业以后几乎没写过代码，从没有做过程序开发。但是最近却接到一个任务，给一批客户（信息中心主任类）进行安全培训，其中一个议题是安全编程。尽管让一个从来没开发过的人讲安全编程实在很无厘头，但是任务就是任务，就好像工资就是工资一样。

思路：
开发安全的程序中，安全编码只应该是一小部分任务。安全应该是贯穿开发的全过程的，所以我的思路是：
1、应用的安全设计——一个安全的应用系统应该是从设计之初就考虑安全问题的，比如体系架构的选择，显然利用安全的中间件的三层架构比直接操作数据库的应用架构更安全。
2、安全的实现——安全的编码，以及对程序代码的控制和检查。
3、安全的实施——开发完成的应用系统在实际上线实施过程中的安全保障。
4、不间断的安全审计——开发的全过程都应该进行安全审计。

基本思路就是这样，具体的很多细节还没有想好，想请教大家一下，我的思路是否完整，还有每个部分的细节。

鸣谢：
我的老板——让我搞这么一个无厘头的任务，娱乐了自己，也能娱乐大家。
参加讨论的弟兄——帮助别人是一种美德，显然大家都很具有这种美德。

再次感谢大家。