安全性與設計

上週，我有幸在佛羅里達州四處走動，在多場 Microsoft 架構會議中與 Dan Sandlin 和 David LeBlanc 交談。對於不認識 David LeBlanc 的人來說，他與 Michael Howard 合著了非常受歡迎的書籍 撰寫安全程式碼。在每一場會議中，我都會針對 P of EAA（本週獲得 JavaWorld 獎項）進行演講/問答，而 David 會接著討論安全性。

讓我感興趣的一件事是，許多人發現這種組合很奇怪，暗示很少人會對這兩個截然不同的主題感興趣。我認為這正是業界安全性問題的核心。安全性被視為一個獨立的主題領域，孤立存在。然而，安全性並不是您只要在這裡和那裡放入幾個封裝類別就能新增到應用程式的東西。安全性思維應該貫穿整個團隊，特別是在網際網路上或大型公司內網中可用的應用程式上。

公平地說，人們有空間專注於安全問題。關於安全性，有很多東西需要了解。但每個人都應該對此有合理的了解。正如 David 指出的：許多眼睛並不會帶來安全的程式碼，您需要許多受過教育的眼睛。我喜歡 David 態度的一件事是，教育開發人員是整體藍圖中的關鍵部分，較不強調與安全小組的檢閱步驟。