应用安全需求之我见

最近在写一份关于应用安全的文档，想明白了一些东西，写下来和大家分享一下。

安全需求这个词对于国人来说实在是太前卫了，基本上没怎么能在网上找到中文资料。经过最近写PPT的思考，因为要写给老板看，强调他的作用又要写些明白的东西就显得很重要，经过两天的思索，终于有了些眉目。以下纯个人意见，仅供参考:

首先，我认为安全需求应该是随着用户需求而生。为什么这样说呢？好比我们去菜市场买菜，我们的基础需求是买能吃的菜，但是其实里面却潜藏着一个安全需求——买不会吃坏人的菜。这个安全需求是随着第一个需求而来的。而且必须要先满足前一个需求，我们才会开始去考虑这一个安全需求。

无独有偶，前天找基础架构图的时候，找回了以前学心理学的时候看过的人的需求层次图：


安全需求就在生理需求之上。

对比回我们做应用，紧随着应用需求的，应该就是安全需求了。比如说，带权限认证的应用系统，每个功能需求都会带有特定权限访问控制的需求。

而且，我们还能发现两点：
1)安全需求可以再继续分化为两类：一类是紧随着每个需求而诞生的安全需求，是每个需求自身特定的安全需求；另一类是由于已知的规章制度(包括公司的，国家的)和系统的特性产生的约束着每一个需求的安全需求。
2)同类产品的安全需求大部分都相同的，特别是第二类安全需求。所以，我们做安全需求的时候，可以去参考网上已有的安全需求(不过现在就只有英文的相关安全需求)。

因此，对于安全需求的度量，我们可以通过需求覆盖度来评价安全需求的工作效率。个人想象出来的覆盖率指标如下:
1)特定法规遵循率 ＝ 遵循该法规的需求总数 / 实际应该遵循此法规的需求的总数
2)安全需求覆盖率 ＝ 有做安全需求的需求总数 / 用户需求总数
3)特定安全需求率 ＝ 需求特有安全需求总数 /

第1，2个是衡量指标，第三个是优化指标。因为第三个指标一般不应该太高，如果太高就意味着两样事情：要么是已有的安全需求规范不完善，有优化空间;要么该种应用没有已知的安全需求列表，需要创建一个。

准备把这个理论放到工作中试行以下，日后再和大家分享结果。