这不是一个真正的技术问题,但可以说你已经开发了一个用于商业用途的应用程序。如果你从一个不一定精通技术的人那里得到关于应用程序安全性的问题,说你已经采取了标准的安全措施,如密码加密、路由保护、安全数据库连接等,对那些不理解这些术语含义的人来说没有多大意义。考虑到这一点,是否有任何方法可以更普遍地证明/证明您的应用程序是安全的,例如,是否有AWS的认证,向客户表明您的应用可以信任?
对于一个具有安全意识的客户端,为了确保您的软件是合理安全的,您应该能够呈现在开发过程中的安全开发生命周期,并生成安全的软件。因为这确实是获得这种保证的唯一途径。
安全的sdlc包括开发人员安全意识/教育等元素,以了解并能够避免安全问题。它包括开发过程中的功能审查、安全架构和代码审查、静态扫描(sast(、动态扫描(dast(或最近的iast,它还包括渗透测试,在SaaS的情况下,还包括安全操作、配置管理、日志管理和devsecops。
你根本无法在事后得到这种程度的保证。
不过,你可以拥有其中的一些元素。你可以运行静态扫描,你可以购买渗透测试,你可以展示你如何处理安全问题等等。在很多情况下,这实际上已经足够好了,但要注意,真正安全的软件不仅仅是这样。