Java EE 프로젝트에서 감사해야 할 것과해야 할 것

Question

프로젝트 감사 문제에 대한 조언이 필요합니다.

현재 내가 개발하고있는 프로젝트는 다음과 같은 수행 할 수있는 "사용자"많은 동작이 있습니다 추가 자신의 비밀번호

변경

• , 삭제 권한
• 추가, 제거하는 역할
• 업로드 파일
• 기타 많은 ...

사용자에게 도달 할 수있는 이러한 모든 작업은 감사되지만 다음과 같은 내용을 감사하는 것이 보통인지는 알 수 없습니다.

암호 정책에 사용자 암호에 적어도 하나의 기호와 1 자리가 포함되어야한다고 명시되어 있습니다 . 일정한 시간에 특정 사용자는 비밀번호 정책을 신경 쓰지 않고 비밀번호를 변경하려고 시도하지만 물론 비밀번호 정책을 준수하지 않는다는 메시지를 받게됩니다.하지만 감사를 받아야합니까? 나는 단지 전에 감사 한 사람들로부터 의견을 듣고 싶습니다.

또 다른 가능한 경우는 사용자가 존재하지 않는 것을 삭제하려고 시도 할 수 있습니다. 예를 들어 비어있는 사용 권한 목록을 갖고 있지 않은 것을 삭제하려고 시도하는 경우, 다시 한 번 사용자에게 메시지가 표시됩니다 삭제할 권한을 하나 이상 선택하라는 메시지가 표시되지만이 작업을 감사해야합니까?

모든 의견은 내 처음 프로젝트를 감사, 환영, 감사합니다 :)

Answer 1

이 강력히 요구 사항에 따라 달라집니다. 고객 또는 비즈니스 규정에 필요한 것은 무엇입니까? 시스템을보다 안전하게 만들기 위해 감사하고 싶습니까? (악의적 인 사용자가하는 것을 학습하여)

"감사"란 파일을 기록하거나 DB에 기록하여 통계를 수집하는 것을 의미합니까?

편집 감사 모든은 조금 비싼 수 있습니다, 그래서 당신이 우선 순위에 따라 항목의 목록을 확인하는 것이 좋습니다. 내 목록은 다음과 같이 보일 것입니다.

• 모든 500 HTTP 오류
• 로그인 (이 일반적으로 아주 쉽게 할 수 있습니다) (성공 및 실패) 비즈니스에 중요한 실체에
• 변경 (개인 정보에 대한 예를 들어, 변경) 및/또는 (사용자에게 역할을 추가/제거한다고 언급했듯이) 애플리케이션에서 중요합니다.
• 액세스 (어떤 항목이 DB에서 해당 ID로이 없다하더라도 666에 액세스 항목)
• 단조 URL을 (A 그가 접근을 허용하지 않는다 사이트의 일부에 액세스하려고 사용자 로그인)
거부 ​​오류
• 404 (잠재적 인 사용자가 응용 프로그램을 탐색하는)를 리턴하는 URL.

다시 말해서, 내 목록에는 자신의 의견을 제시해야 할 것입니다. "사이트에서 보낸 시간"과 같은 고급 감사 기능을 원할 수 있습니다.

또 다른 중요한 점은 입니다. 가능한 한 로그를 읽고 검색 할 수 있도록합니다.