假设您正在使用的应用程序是专门为客户设计的,以满足特定的“内部”需求,例如工资单信息的数据处理。此应用程序不会公开发布,仅驻留在内部网络上。 (从理论上讲,内部网络应保持100%安全。)在这种情况下,开发人员应该花多少精力在IA上?假设数据库是SQL,您是否担心在这种情况下阻止SQL注入攻击?
我很想听到那些没有以网络为中心的开发人员的一些反馈(我现在想不出更好的术语,但没有一个以网络为中心不完全正确。更像是没有分发或没有公开或类似的东西。)键入程序以及他们为安全性付出了多少努力。
作为附录,您如何证明对经理类型的这种需求?
我目前正在进行IA内部软件开发必要性的案例研究,所以任何答案都会受到高度赞赏。
答案 0 :(得分:3)
我会对此应用“可能发生的最糟糕的事情”原则。如果这意味着可能泄露个人信息和/或可能对公司采取法律行动,您应采取最适当的措施来保护申请。
答案 1 :(得分:2)
我倾向于认为无论产品的最终用途是什么,因为应用程序开发人员我负责确保应用程序的完整性及其安全性。这提供了两个明确的好处:
关于#2,如果您作为开发人员为公司工作,并且使用该系统的员工泄露了信息,那么他们可能承担责任,因为该软件是他们的产品。如果您正在为正在开发该公司使用的软件的第三方工作,那么如果通过您的软件中的安全漏洞从公司泄露信息,那么任何他们将转向答案的猜测?无论哪种方式,作为应用程序架构师以及对应用程序开始时不安全的原因有疑问的人都会回复您。
我建议您根据您的约束条件以及您将要保护的数据的敏感性来实施最严格的安全性。如果它对魔兽世界的高分那么我担心的比我设计银行的内部申请要少。
答案 2 :(得分:1)
我参与了一些内部项目的开发。这是一个收集员工的血型细节和他们的一些个人信息的申请。 安全部分有点被忽略了。
我们收到了内部安全团队的邮件,要求我们保护该应用程序,因为它有一些个人信息。我们可能会接受供应商并公开应用程序,并始终建议开发安全代码。
答案 3 :(得分:1)
根据大多数安全问题,您需要提出的问题是。
您在问题中提到的工资单信息将是您要保护的资产,您网络中的任何人都会感兴趣并且无权访问此信息吗?如果你发现你的工作伙伴的工资是你的两倍,你会怎么说?如果有人设法更新这些信息会导致他们的银行账户中有更多钱吗?
在确定花在安全上的时间时,您需要问这些问题。