@火凤凰
2年前 提问
1个回答
传统的应用开发安全支撑能力不足体现在哪些方面
一颗小胡椒
2年前
传统的应用开发安全支撑能力不足体现在以下方面:
应用架构管控不足:在传统的应用开发中,架构管控组织中往往缺乏安全架构师,且安全团队参与的时间较晚。安全团队往往无法及时对应用提出架构层面的安全建议,也难以把安全因素融入到组织的应用架构管控流程中去,导致应用架构缺乏安全视角的有效输入,由此导致安全风险增大,安全能力长期难以提升。
缺乏系统化安全需求导入:应用系统安全往往跨越多个层次,涉及各个领域。而传统的应用开发往往缺乏对安全需求系统的梳理和分析,导致缺乏系统化的安全需求导入。
组件化安全能力支撑不足:由于缺乏安全基础设施的支持,在身份和认证、数据加密、业务安全、统一日志审计等方面都缺乏必要的支撑,导致各个业务系统的安全能力参差不齐,同时也导致这些方面的安全控制措施难以实施。
缺乏与开发流程集成的安全工具:在传统的应用开发中,安全大都通过流程卡点的形式与开发流程集成,实际的安全检查、审核的工作是由安全人员人工执行的,且不便与开发流程中的工具和平台集成。这种缺乏自动化的模式将阻碍敏捷模式下的快速交付。