如果你在一家初创企业工作,并一直在思考应该在何时开始研究安全注意事项和合规性?哪些技术债务应该推迟到以后,哪些系统应该马上强化?主要考虑因素是什么?
技术债务越堆越高,并且多数情况下比起现在偿还拖到以后会更容易。比如,如果你不是用用户名密码的方式使用 ElasticSearch ,你应该再三检查你的防火墙设置。等到 B 轮融资之后,你的初创企业很可能有了足够的人力物力来正确的保障 ElasticSearch 集群。
初创企业文化使得它更难“以后”再改。让我们举一个简单的例子:习惯于不做代码审查而直接提交的开发者,会抱怨说同行评审会拖慢整个开发,并让他们觉得这“太企业”。
那么早期应该做哪些安全方面的考虑?
产品中的哪些安全特性是客户愿意买单的?
你们产业(医疗,金融,企业)对安全的期待是什么?
目标市场(国家)法规(数据隐私,数据驻留)是什么?众所周知欧洲国家有更严格的法规。美国各州有不一样的法规。
哪些工具和政策不会伤害你的团队的士气。
您需要多长时间准备安全风险计划(参见本文档底部的示例)?
我们归纳总结了一个初创企业在各个阶段所期待的安全建议,初创企业所掌握的资金和数据越多,那么对于安全的投资也要越多:
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.