对于非以Web为中心的应用程序,您在安全性上花费(或应该花费)了多少精力?

我倾向于认为,无论产品的最终用途是什么,作为应用程序开发人员,我都要负责确保应用程序的完整性和安全性。这提供了两个明确的好处:

1. 防止您可能无法/将无法预见的错误。例如,在数据库查询之前对输入进行转义的相同代码还可以确保O'Leary这样的名称不会破坏应用程序的正常执行。
2. 防止恶意利用1。

关于2,如果您作为公司的开发人员为公司工作,并且信息被使用该系统的员工泄露,那么他们可能要承担软件是他们的产品的责任。如果您是为第三方工作,该第三方正在开发本公司使用的软件,那么如果信息是通过软件中的安全漏洞从本公司泄露出来的,有没有猜测他们会从哪里寻求答案?不管怎样,作为应用程序架构师和一些有问题的人,这些问题都回到了您身上:为什么应用程序一开始就不那么安全。

我建议您实施尽可能严格的安全性,考虑到您的约束和要保护的数据的敏感性。如果它的高分数为哇,那么我会担心比如果我正在设计一个银行内部应用程序。

我会把“可能发生的最糟糕的事情是什么”的原则应用到这个问题上。如果这意味着个人信息可能被泄露和/或可能对公司采取法律行动,您应该采取最适当的措施来确保应用程序的安全。

我参与了一些内部项目的开发。这是一份收集员工血型详细信息及其个人信息的申请。 安全部分有点被忽略了。

我们收到了一封来自内部安全团队的邮件,要求我们保护应用程序,因为它有一些个人信息。我们有可能接受供应商并公开应用程序,它总是建议开发安全代码。

根据大多数安全问题,您需要问的问题是。

1. 您保护的资产是什么?
2. 谁想得到这些资产?
3. 如果这些资产丢失,您/您的客户/您的企业将承担什么成本?

您在问题中提到的工资信息将是您正在保护的资产,您的网络中是否有人感兴趣并且无权访问此信息?如果你发现你的同事的薪水是你的两倍,你会怎么说?如果有人设法更新了这些信息,他们的银行账户里会有更多的钱吗?

在确定在安全上花费多少时间时,您需要问这些问题。