Используйте fremework для обеспечения безопасности или сделайте это самостоятельно?

Question

У меня есть это сомнение с тех пор, и сегодня я не настолько силен, несмотря на то, что взял его.

Всякий раз, когда я разрабатываю или участвовать в разработке приложения (WEB), как правило, относиться к безопасности палец и ноготь, то есть, мы не рассматривать все процессы, связанные с безопасностью, сеансами до шифрования паролей и т.д.

Я помню, как кто-то сказал, что всегда лучше использовать Framework (Spring, Apache Shiro и т. Д.).

Какое ваше предложение?

Answer 1

Да, всегда лучше использовать каркас, а затем снова изобретать все колесо. Я лично предпочитаю Apache Shiro и сделал настройки для удовлетворения моих потребностей, расширив предоставляемые классы.

READ здесь http://shiro.apache.org/

Некоторые моменты Meke вверх ваши средние частоты являются:

Пользовательский код равен пользовательские уязвимости: с веб-приложений, как правило, генерируют большую часть кода приложения самостоятельно (даже при использовании общих рамок и плагины). Это означает, что большинство уязвимостей будут уникальными для вашего приложения. Это также означает, что, если вы не постоянно оцениваете свое приложение, вам некому рассказать вам, когда обнаружена уязвимость в первую очередь.

Вы продавец: Когда появляется уязвимость, вы не будете иметь внешний поставщик, обеспечивающий патч (вы, конечно, должны установить патчи для любых компонентов инфраструктуры, структуры, и среды сценариев, которые вы используете). Если вы предоставляете внешние услуги клиентам, вам может потребоваться выполнить любые соглашения об уровне обслуживания, которые вы предоставляете, и должны быть готовы к их просмотру, так же, как вы смотрите на своих собственных поставщиков программного обеспечения, даже если программное обеспечение не является вашим бизнесом. Вы должны исправлять свои собственные уязвимости, заниматься своими собственными отношениями с клиентами и предоставлять все, что вы ожидаете от тех, кто предоставляет вам программное обеспечение и услуги.

Опора на каркасы/платформы: Мы редко строим наши веб-приложения с нуля в блестящем новом C-коде. Мы используем смесь различных фреймворков, инструментов разработки, платформ и компонентов полки, чтобы собрать их вместе. Мы поставили перед собой задачу защитить и развернуть эти части, а также собственный код, который мы строим, и над ними. Во многих случаях мы создаем проблемы безопасности из-за непреднамеренного использования этих компонентов или взаимодействия между несколькими слоями из-за сложности базового кода. Когда мы можем использовать для всех других частей, почему бы не использовать их для обеспечения безопасности и просто держать и смотреть, если в этой структуре обнаружена какая-либо vurneability и реагирует на обновления, поскольку сообщество может обновляться быстрее и лучше, чем самим собой.