Является ли откладывание проблем безопасности до конца цикла разработки приложений хорошим подходом?
Поскольку мы собираемся разработать некоторый открытый API для других приложений для интеграции, кто-то предлагает нам отложить материал безопасности до тех пор, пока методы API не будут выполнены, поэтому у стороннего приложения будет над чем работать! Является ли это хорошим подходом к решению проблемы, или мы должны установить безопасность, а затем разработать сам API?
РЕДАКТИРОВАТЬ:
Проблема здесь в стоимости. Скажем, если у вас это в первую очередь, я думаю, что вам не придется пересматривать API, чтобы вносить изменения из-за материалов безопасности, особенно с сторонним приложением, которое поддерживается другая команда. Если мы задержим его до тех пор, пока все не будет выполнено и не будет интегрировано, другая команда должна изменить и изменить код.
Итак, из вашего опыта, что будет стоить меньше?
3 ответа
Вы должны иметь дизайн с самого начала, включая безопасность. Изменение дизайна позже будет стоить намного дороже. Вначале реализация может быть либо отложенной, либо неполной.
Если вы, например, не знаете гранулярность прав доступа, вам придется много переделать, когда позже узнаете, что он должен выходить за пределы доступа к таблице или за пределами SIDU и на самом деле работать на уровне строк.
Включение фиктивных функций и разработка деталей того, как реализовать реальную вещь позже, более или менее бесплатны, но для этого вам сначала нужно знать, что нужно клиенту и планировать для нее!
Безопасность - это проблема CROSSCUTTING, а это значит, что она проникает (и должна) каждый уровень архитектуры. Почему бы не использовать Basic Auth и не использовать ключ с сторонними разработчиками приложений?
Безопасность всегда должна быть проблемой. Это не поможет отложить, если ваши API безупречны, а ваша система безопасности ошибочна.
Это зависит от...
- Общий риск, связанный с безопасностью вашего API. Мы говорим о банковском деле, жизни и смерти или фотографии кошки? Чем больше рискованности, тем больше я бы хотел решить эту проблему.
- Общий уровень мастерства и опыта вашей команды. Люди с большим опытом менее склонны рисовать себя в угол.
- Применимый опыт обеспечения API. Если это все сначала пойдут на это, я бы, по крайней мере, подробно планировал планирование.
Я все за то, чтобы пинать банку на безопасность, безопасную аутентификацию, списки ACL и т.д., Когда это возможно. Но не просто скажите "давайте сделаем это позже", не получив хороший контроль над тем риском, которое может принять решение. По всей вероятности, эти обсуждения приведут к жизнеспособному пути вперед, если вы должны начать решать проблемы безопасности раньше запланированных.
Ещё вопросы
- 0Получение идентификатора объекта ruby с помощью jquery
- 1Шаблон наблюдателя в Android
- 0OpenGL ничего не рисуя
- 0PHP регулярное выражение не работает в php [preg_replace}
- 0JQuery диалог закрывается при переходе на VB код
- 1объект цепочки исключений в JAVA
- 1Атрибуты класса, определенные в __init __ (), против атрибутов, определенных методом класса
- 0ошибка в импорте sqoop
- 1Как передать объект массива из одного класса в универсальный метод, который имеет объект в качестве параметра в Java
- 0Разбор поплавка для карт Google с использованием Javascript / jQuery
- 0Cron Jobs / Запланированные задачи для мультитенантного приложения PHP
- 0Как разделить библиотеку между процессом и вызываемым скриптом, используя SWIG?
- 1OwlCarousel2 - перетаскивание в 1 пиксель
- 0API Календаря Google, getItem и getSummery ничего не возвращает
- 0Использование функции в качестве параметра в контроллере
- 1Python3.5, Win32gui, Tkinter. Я не могу получить пиксель с экрана
- 0Стильные фрагменты текста, которые не обернуты в div
- 1Почему я получаю AccessControlException: доступ запрещен при добавлении BouncyCastleProvider в сервлет Security in Tomcat
- 0Кнопка подписки YouTube (вставка) не работает
- 1Как отладить крюк Кордовы?
- 1Валюта текстовое поле реагировать родной
- 1Как заблокировать экран, чтобы не допустить поворота на одном фрагменте
- 0Как проверить 3 начальные цифры на ИД пользователя с PHP?
- 0PHP - Как добавить переменную в тело письма
- 0Angular JS - получить высоту элемента в директиве перед визуализацией представления
- 1Как скрыть стрелку слева от заголовков DataGrid?
- 0Сборка PreparedStatement в Java с переменным числом столбцов для вставки данных в базу данных [дубликаты]
- 0Открыть модал в определенную дату / время [дубликаты]
- 1Эффект масштабирования объектов, когда NaN установлены на -1
- 1Строка на дату с текущим временем
- 0Изотоп - Адаптивный макет 4,3,2,1
- 0Обработчик событий Jquery не работает при вызове со страницы
- 1Альтернатива redis с постоянными сообщениями pub и хранилищем значений ключей?
- 1Может кто-нибудь объяснить, пожалуйста, следующий код
- 1Заменить существующие R блестящие данные htmlwidget новыми данными
- 0Изменяемая ручка блокирует перетаскиваемое взаимодействие
- 0Подсчет сессий с IP-адресов за определенное время
- 0как переписать URL в Yii?
- 1Разбор строки данных: split против регулярного выражения
- 0Ошибка использования Qt 5.1.1 в code :: blocks
- 0процедурный запрос firebird выдавал ошибку «token unknown» в «SET TERM #;»
- 1SSH с nodejs
- 0получить <image> src php для отображения в html
- 1Ionic 2 Angular 2 - не удается получить доступ к NavController из метода
- 0Встроенный диалог в Tab Control не может работать во втором диалоге, MFC
- 1Как использовать sqlite в качестве строкового ресурса вместо strings.xml для языка?
- 1Google Cloud Messaging - не зарегистрирован на Android 9.0 Pie
- 0Mysql time diff в группе по
- 1Модуль Android Studio Gradle чистой установки дает ошибку com.android.volley не существует
- 0AngularJS: кнопка сфокусирована
