建立安全框架

Question

我知道有很多安全框架，“构建”一个安全框架是个坏主意。

在我最近从事的项目中，我使用了spring安全性来保护web应用程序。在这个过程中，我对一些spring安全类进行了过度的修改/调整，以满足我的需求。

我的管理层现在希望我把我所做的事情“拿出来”，并将其作为一个可重用的代码分发到内部门户中。

现在，这是一个公平的问题吗？我试着向他们解释，这只是一些基于spring安全的类，没有什么特别的。但他们坚持要“创造”这个框架。

这是一个公平的要求吗？对如何开始有什么想法吗？我知道从春季安全开始并不容易。

如果我正在建设这个项目，我需要提供哪些功能？

Answer 1

我知道有很多安全框架，“构建”一个安全框架是个坏主意。在我最近从事的项目中，我使用了spring安全性来保护web应用程序。在这个过程中，我对一些spring安全类进行了过度的修改/调整，以满足我的需求。我的管理层现在希望我把我所做的事情“拿出来”，并将其作为一个可重用的代码分发到内部门户中。现在，这是一个公平的问题吗？

这不明智。不幸的是，我对你调整的内容、深度或管理层的经验和理解知之甚少。我猜你的管理层在想：

“哇，我们的工程师在一个既定的框架内做了重大的安全改进，这一定是值得的。”

“它已经写好了，只要重新包装，销量就会滚滚而来。”

我试着向他们解释，这只是一些基于spring安全的类，没有什么特别的。但他们坚持要“创造”这个框架。这是一个公平的要求吗？

听起来不太好听。在你对你所做的事情的看法和你的管理层对它的看法之间似乎存在着明显的差异。您的管理层可能对业务和产品创建有更好的了解，您可能对技术问题有更好的了解。也许你的工作有令人难以置信的产品价值，而你的管理层却看不到。然而，我更倾向于相信你的工作是好的，但作为一种产品却没有显著的价值，而且你的管理人员对他们的热情是错误的。

让我这样说。对于一个竞争对手来说，拥有你的技术开发人员是多么困难，而开发人员所做的工作与你所做的相当。如果答案是非常困难的，那么只要有公司谁，你做了什么，你有一个产品。如果答案并不难，那么把你的工作变成一个产品更多的是关于销售量和运营管理费用，而不是关于技术的优点。

对如何开始有什么想法吗？

如果您确实向前迈进，那么在需求和设计上花费足够的时间。了解管理层对此产品的期望，并从这些期望中得出设计目标。计划测试、发布、维护、更新和寿命结束。与管理层持续沟通。如果你有问题，那就让管理层知道，有时他们可以帮助你或调整你的努力方向。

如果我正在建设这个项目，我需要提供哪些功能？

这将取决于您的设计目标，而设计目标又应该取决于管理需求或产品的概念。

Answer 2

如果您所做的只是用一个方便的API包装现有的行为，那么您应该会没事的。但我已经看到了一些例子，即使这样也会带来问题:通常包装的函数是加密函数，所以包装器实际上代表了加密协议。除非你发明了一个新的哈希插件什么的，否则我不确定你能不能用Security。

如果您添加了新功能，或者Security框架正在做的一些事情，那么您需要更加小心。在向外界开放之前，您应该先得到安全测试人员对修改的独立测试:实际上，在您愤怒地使用它之前，最好是:)。

最后，如果您提供的内容已经可以在另一个经过良好测试的框架中实现，那么您应该退一步，建议管理层推荐使用该框架。您可以考虑在自己的代码中迁移到经过更好测试的实现。