Web安全學習過程中積累了一些問題。
有些知道個大概但並未深刻理解來龍去脈,此後根據實際工作需要進行深度學習;
有些是日常工作中積累下來的感想,無處尋求答案,需要自己慢慢體會、和他人溝通,去了解針對該問題思考的多維視角;
1
問題描述
在自己所從業的日常開發中,並未在需求文檔或詳細設計文檔中單獨寫明Web安全相關,行業通用準則的日常開發工作中是否要寫明Web安全相關的設計思路?
問題背景
由於自己從事的2家公司開發設計均未對Web安全有過要求,leader在功能模塊的詳細設計review, code review中也基本未提過、注意過,貌似企業級應用開發設計不太關注web安全;
問題分析
1、自己畢業全職入職的第一家公司(民營企業-大數據服務開發)注重敏捷開發,綜合考慮開發成本和開發資源無法關注到網絡安全這方面,公司開發規範、團隊Leader不論是技術、時間、開發質量等方面考慮,web安全不是關注點,不做要求;
此外,甲方客戶IT部門沒有網絡安全意識;
2、目前在職的這家公司(國企),IT部門沒有企業級應用開發方面的安全意識,項目基本上外包出去,開發人員較少且在該企業工作時間較久,技術單一且單薄,對項目沒有網頁安全方面的要求;
PS:我的職位比較尷尬,項目管控、需求調研、參與架構設計、部分功能模塊的設計開發,推測領導是希望這些項目結束後我去運維~ 和我入職時聲明不做運維意願相反,雖然目前還未明確提出。
2
問題描述
XSS只需要開發人員心理有數即可嗎?架構師是否需要在做架構設計的時候給出大綱,還是開發人員自己在自己負責的功能模塊詳細設計中寫明?