谁拥有安全保障？

Question

我一直在使用以下方法开发多层应用程序:

1. ASP.Net - UI层
2. WS - 业务服务层
3. WS - 数据服务层
4. SQL - 数据库层

安全性是架构师,开发人员还是基础架构的责任？

更具体地说,从层到层的安全性.

我想答案将是以上所有.

但是,我只是想知道人们的经历是什么 - 尤其是在非敏捷环境中工作？是否应该在技术设计文档中预先设计所有设计并确定安全性(我不知道)？

Answer 1

让我们面对现实吧，如果安全不属于每个人，那么它将不属于任何人。（我相信瑞奇·鲍比首先这么说）。

这是一个文化问题。大多数组织对安全性口头上说得很好，但实施起来却很糟糕，原因很简单，因为他们不太了解安全性。当您考虑处理十大安全漏洞是多么简单时，不这样做是不可原谅的。因为一旦你“掌握”了它，这真的很容易。

快速示例：

您的敏感应用程序需要受到保护，免受 Fiddler 等数据包嗅探器的侵害。你必须

1. 打开 SSL/TLS 以在浏览器和客户端之间进行保护。这是您在问题中提到的 UI 层的责任。
2. 在 Web 服务器和业务服务层之间启用 WS-* 堆栈。这是业务服务层人员的职责。
3. 在业务服务层和数据层之间启用 WS-Secure。数据层人员必须这样做。
4. 您需要实现服务代理或使用数据库中的密钥。 这是所有这些的链接。这必须由 DBA 完成。
5. 所有这一切都需要由您的经理协调并由您的建筑师设计。

所以你看，它必须在整个团队中完成，因此必须是一个文化主题，而不仅仅是另一个需要勾选的框。

嘿，我感受到你完成这件事的痛苦。支持你提高标准！