Come possiamo garantire la nostra implementazione dell'autenticazione personalizzata a un cliente?

1

Contesto
In .Net 4.6 il mio team ha utilizzato i sistemi di autenticazione / autorizzazione integrati di Microsoft principalmente attraverso i suoi strumenti Owin. In .Net Core Microsoft ha deciso di NON portare questo segmento di strumenti. Quindi, abbiamo preso la decisione di scrivere il nostro middleware auth per generare, autenticare e autorizzare le JWT nelle nostre app .Net Core.

Nota: siamo stati attenti a garantire che abbiamo seguito lo standard OAuth molto vicino

La domanda
C'è un "timbro di approvazione" per il nostro middleware di autenticazione personalizzata che potremmo avere per assicurare al cliente che la nostra sicurezza delle applicazioni è affidabile?

Lo scenario
L'idea è che un cliente possa venire da noi e dire "che tipo di sicurezza stai usando sulla nostra app?" Spiegheremo la pipeline di sicurezza utilizzata nell'app e includeremo la nostra autorizzazione personalizzata in quella risposta. Potrebbero quindi rispondere "middleware di autenticazione personalizzata"? Sembra pericoloso, come puoi assicurarci che sia sicuro? "

Le posibilità
Quello che cercava potrebbe essere un certificato, potrebbe essere solo per dire che il nostro sistema di autenticazione segue uno standard particolare. O forse, non c'è niente e il meglio che possiamo fare è semplicemente dire 'fidati di noi, lo abbiamo fatto prima ... -_-'.

    
posta raykrow 21.05.2017 - 21:28
fonte

1 risposta

1

Se hai i soldi ottieni un pen-test del sistema da una ditta stimabile. Sono disponibili molte aziende (ad es. Synopsys / Cigital, Rapid7, SEC Consult, ecc.). Aspettatevi che vi costino $ 40K a $ 50.000 USD.

Quindi puoi mostrare il rapporto di prova al tuo cliente o puoi dire che hai provato la penna senza problemi. Fai attenzione a mostrare i rapporti al cliente, se lo fai una volta che si aspettano da quel momento in poi. La mia azienda non mostrerà i rapporti sui test delle penne a un cliente, ma li caratterizzerà (ad esempio "sono stati trovati X highs, Y medium e Z minimi e tutti sono stati risolti").

    
risposta data 21.05.2017 - 21:51
fonte

Leggi altre domande sui tag