安全架构评审实战

确定一个应用的安全状况,最直接的方法就是安全评审。安全评审可以帮我们发现应用系统中的安全漏洞,也能了解当前系统,乃至整个防护体系中的不足。完整的安全评审会包含安全架构评审、安全代码审核和安全测试三个手段。安全架构评审,着眼于发现安全设计的漏洞,从宏观的视角整体评价一个应用的安全性,快速识别业务系统核心安全需求以及当前安全防护机制是否满足这些需求,是投入产出比最高的活动。因此安全架构评审,直接影响整个安全评审的质量,并为安全编码和安全测试指明重点。本文通过从方法论到实际模型,对安全架构评审过程进行阐述。不论你是安全从业人员对第三方应用系统进行安全评审,还是作为产品的研发人员、架构师,依据本文提到