这并不是一个真正的技术问题,但是请说您已经开发了一个用于商业用途的应用程序。如果您从技术上未必熟练的人那里得到有关应用程序安全性的问题,则说您已经采取了标准的安全措施,例如密码加密,路由保护,安全的数据库连接等。对于不了解这些术语含义的人来说意义重大。考虑到这一点,有什么方法可以更普遍地显示/证明您的应用是安全的,例如例如,是否有来自AWS的证书,它将向客户显示您的应用程序可信任?
答案 0 :(得分:2)
对于具有安全意识的客户端,要确保您的软件是合理的安全性,您应该能够提供在开发过程中已形成并生成安全软件的安全开发生命周期。因为那确实是获得该保证的唯一方法。
安全sdlc包含诸如开发人员安全意识/教育等元素,以了解并能够避免安全问题。它包括功能审阅,安全性架构和开发期间的代码审阅,静态扫描(最新),动态扫描(最新)或最近发布的最新信息,还包括渗透测试,在SaaS的情况下,还包括安全操作,配置管理,日志管理,开发人员。
您以后根本无法获得这种保证。
尽管可以包含其中的一些元素。您可以运行静态扫描,可以购买渗透测试,还可以显示如何处理安全性问题等等。在许多情况下,这实际上已经足够了,但是请注意,真正安全的软件不仅如此。