原仓库:https://github.com/forter/security-101-for-saas-startups
本文由 Hopsken 基于源仓库翻译。由于译者水平有限,多有翻译不当之处,还请不吝赐教。
假设你在一家创业公司工作,你也许在思考,应该从何时开始着手考虑安全问题?哪些技术债务应该推迟到下一阶段再考虑?哪些系统眼下亟需加固?哪些因素值得着重考虑?
技术债务会不断地累积,很多情况下,放它们到以后处理要比现在处理要来得容易。举个例子,如果你在不认证用户名/密码的情况下使用 ElasticSearch,你就得多留意你的防火墙配置。经过 B 轮后,你的创业公司应该会有足够的人力和预算来恰当地加固 ElasticSearch 集群。
相对而言,在以后的发展中,创业公司的文化要更难以改变。举个小例子,习惯了不经审查就提交代码的开发者可能会抱怨同事审查拖慢了开发的进度。
那么哪些安全问题是早期就应该考虑的呢?
-
愿意付费的用户提出了哪些安全顾虑?
-
你所在的行业内的安全期望是怎样的?
-
目标市场(国家)有哪些规定(数据隐私,数据所在地)?欧盟的规定更加严格,美国不同州之间也有着不同的规定。
-
哪些工具和政策不会伤害到团队的士气?
-
你需要多久来准备一个安全风险计划(例子详见文档底部)?
-
知识产权、商业计划以及比特币/云计算服务等被窃取将会造成怎样的影响?如果是丢失全部数据呢?那将会如何影响你的销售、顾客和投资者?
-
如何防止数据外泄?
-
万一发生数据外泄该如何应对?
-
我们整合了创业公司在发展的不同阶段所期待的安全建议。处理的金钱和数据越多,安全上的投入就越大。