Просто потому, что кто-то безопасность очищается не означает, что они знают, как писать безопасный код. В ЦВЗ & ОСЦП я регулярно получать через приложение, написанное очень безопасность совесть разработчиков / проектные группы.

МИД защищает вас от себя и вероятности того, что ваша система будет скомпрометирована.  

Что касается безопасности системы, защита в глубину и проектирования и разработки с упором на безопасность проходит долгий путь. Поговорил типичную безопасность инфраструктуры, как межсетевые экраны, IDS / IPS, WFA и такая просто не хватает.  

Как правило, системы построены для удовлетворения потребностей бизнеса. Бизнес определяет функциональность, а затем использовать случаи и тестовые примеры написаны. Они, как правило, забывают о случаях злоупотребления, и это, когда я могу получить.  

Что должно произойти в дополнении ко всей безопасности инфраструктуры, в том, что не являющиеся функциональные требования, такие как безопасность считаются с самого начала и разработчики обучаются в разработке оборонительной программного обеспечения, дизайнеры обучающихся в таких вещах, как моделирование угроз, владельцы бизнеса место, как много внимания уделяется безопасность тестирование, как они делают на функциональной, тестирования производительности и UAT. Тогда у вас есть шанс.

Таким образом, это столь же безопасным, как они позволяют ему быть. Они всегда будут утверждать, что это безопасно, но истина заключается в пудинга. Я понятия не имею, если они есть, или их нет. Я, конечно, надеюсь, что они, как я знаю, что многие люди полагаются на них.