为什么针对企业的开源应用程序没有这些安全特性？

Question

1. --在我看来，许多大型企业似乎已经拥有健壮的目录服务，例如Active Directory，在特定于应用程序的存储中不断地复制用户是很愚蠢的。即使您需要复制用户存储，也可以提供一种针对Active directory的身份验证机制。或者，您可以支持一种基于标准的SSO机制，该机制利用了对XACML协议的SAML.
2. 支持。重复有关角色和应享权利的信息对于SPML协议来说同样是insidious.
3. Support。许多企业利用身份管理工具包，至少在集中管理和供应方面会像开箱即用的集成一样。

那么，为什么开源项目不将这种类型的功能视为在企业上下文中获得关注的默认功能呢？

Answer 1

原因很多，但最大的原因之一是，正确或最好的方法到底是什么，比你想象的要少得多。

例如，

• Active Directory以向非微软开发人员介绍实现困难而声名狼藉。世界银行(
• )可能有六家竞争对手--单点登录“标准”。
• 很难调和不同的角色/特权模型

Answer 2

我觉得Charlie nailed it

解决安全问题很困难，而且通常不是很有趣。

开放源码软件开发人员倾向于享受他们正在进行的工作。作为我职业生涯的一部分，我做了很多“企业级”的工作，我也会同意他们并不是一个很有趣的人。然而，这是我对开放源码软件组件永无休止的痛苦之一.我们在解决方案中使用它们有困难，因为它们不能满足我们的客户需求。

我认为一般的原因是：

development"

• too

• 大学倾向于忽视这方面的“企业

• 多标准从

• 中选择，没有明确的市场领导者

• ，不同的安全提供商很难配置和测试

• ，整个应用程序安全范式需要大量的专业知识才能开始尝试集成

F 214

就我个人而言，我责怪第一个。大多数工程师甚至没有考虑如何在更大的上下文中使用应用程序。他们感兴趣的是解决手头的问题，而不是提供一个可用的解决方案。大多数FOSS解决方案在很大程度上是一个有趣的问题的解决方案。企业实体通常会出现并提供商业打包，从而使自由和开放源码软件解决方案在实际环境中实际可用。当然，这个包装带有附加的价格标签。

Answer 3

Open是提供“身份验证”解决方案的一个开始。(据我所知，它没有“供应”机制。您必须信任外部权限来识别帐户，然后使用自己的设备添加站点/app版本的帐户)

如果有人知道某种开放的“授权”解决方案来集中管理角色，那也会很有趣。不过，这听起来像是你在公司内部做的那种事情，角色在你的组织中有着明确的意义。我相信IBM或Oracle会很乐意接受大量的改变并为您做些什么，不过:-)