1

プロジェクトの監査に関してアドバイスが必要です。

現在、私が開発しているプロジェクトには、「ユーザー」が実行できる多くのアクションがあります。

  • 自分のパスワードを変更する
  • 権限の追加、削除
  • ロールの追加、削除
  • ファイルのアップロード
  • 他にもたくさん..

ユーザーに到達可能なこれらすべてのアクションは監査されますが、たとえば次の監査が通常かどうかはわかりません。

パスワード ポリシーでは、ユーザー パスワードには少なくとも 1 つの記号と 1 つの数字を含める必要があると規定されています。特定のユーザーがある時点で、ポリシーを気にせずにパスワードを変更しようとすると、もちろん、パスワード ポリシーが尊重されていないというメッセージが表示されますが、これを監査する必要がありますか? 以前に監査したことのある人、またはその問題について知っている人からの意見が欲しいだけです。

別の考えられるケースは、ユーザーが存在しないものを削除しようとした場合です。たとえば、アクセス許可の空のリストがあり、存在しないものを削除しようとした場合、ユーザーはもう一度選択するようにというメッセージを受け取ります。少なくとも 1 つの削除権限が必要ですが、このアクションは監査する必要がありますか?

どんなフィードバックでも大歓迎です。プロジェクトを監査するのは初めてです。ありがとう :)

4

1 に答える 1

2

それはあなたの要件に大きく依存します。クライアントまたはビジネスの規制は何を要求していますか? システムをより安全にするために監査を行いますか? (悪意のあるユーザーが何をするかを学ぶことによって)

また、「監査」とは、ファイルにログを記録すること、または統計を取得するために DB に挿入することを意味しますか?

編集すべてを 監査するのは少し費用がかかる可能性があるため、優先度順に項目のリストを作成することをお勧めします。私のリストは次のようになります。

  • 500 http エラー (通常、これは非常に簡単に実行できます)
  • ログイン (成功および失敗)
  • ビジネスにとって重要なエンティティ (個人データの変更など) および/またはアプリケーションにとって重要なエンティティへの変更 (ユーザーへの役割の追加/削除について述べたように)。
  • アクセス拒否エラー (アクセスが許可されていないサイトの一部にアクセスしようとするログイン ユーザー)
  • 偽造された URL (DB にその ID を持つアイテムがないにもかかわらず、666 を持つアイテムにアクセスする)
  • 404 を返す URL (アプリケーションをプローブしている潜在的なユーザー)。

繰り返しますが、私のリストですが、おそらくあなた自身のリストを作成する必要があります. 「サイトで費やした時間」など、より高度な監査が必要になる場合があります。

もう 1 つの重要なことは、ログをできる限り読みやすく、検索できるようにすることです。

于 2011-03-10T12:38:00.123 に答える