当前位置：首页 > news >正文

安全中间件的设计思路和简单实践

news 2026/2/10 13:37:14

rasp 的侵入式特性和拦截特性导致开发和运维普通不太愿意配合，当生产环境出现问题时往往第一时间先把责任推给 rasp，逐渐的安全部门普遍只能把 rasp 设置为告警模式，而且越是大的集群拦截开的就越少，所以字节的 elkeid 和某外卖大厂内部的 rasp 都是告警模式，没有发挥 rasp 的实际作用。相反的深圳某体制内企业他们的信息系统大部分都是采购的，并采取自研的策略，但是这个企业对外每开放一个端口，都强制要求安装网防 G01 进行管控。

我思考这个问题得出的答案是：
本质上 rasp 是安全部门推动的，对业务性来说代码可控力度较弱，强侵入性和强拦截性导致只有话语权较强的企业才能完整落地。尤其排查问题的成本实在过高，所以导致开发、运维、安全三方技术力量在面对生产环境问题时很容易扯皮，最终 rasp 面临的不是减少拦截性就是减少侵入性。

当然，后面我们再进一步解析安全中间件会发现：本质上这是一个管理问题，还真不是技术问题。

安全中间件的优势是：

运维和开发由于合规因素都是相对隔离的，企业人数越多，运维和开发的隔离性就越明显。在运维人员采购以及管控中间件的这部分工作中，安全中间件的优势就出现了：运维部门采购安全中间件后，往往会开启所有的安全策略，但是安全策略的关闭、调整的权限是留给开发部门的。从管理角度上运维人员已经落实了安全责任，如果开发在使用中间件时为了业务逻辑关闭、调整中间件的安全策略，属于是开发部门的安全问题与运维无关。

这也间接解释了国内很多企业的安全部门尴尬的原因：安全工作要落地，但是各部门又没有相关的能力，只能安全部门自身输出安全能力提供安全产品。而安全预算往往又不足，只能安全部门从业务端开始从业务捋到运维，链路太长又气又累，出了问题还要背锅。但安全部门本质上是要求从业务端就开始层层履行安全责任的监管部门，而目前的现状是运动员又是裁判员，这让人确实很难受。

接下来聊聊我手工改造 tomcat 的一些过程，供大家欣赏：
1）准备两套 tomcat 源码，分别重命名
这样做是因为 maven 环境下的 tomcat 开发调试较为方便利于长期开发，而 ant 是标准的编译方案适合最终发布。

2）使用 idea 直接加载 apache-tomcat-8.5.75-src-maven 目录
点击 modules 按钮
选中 java 按钮点击 sources 按钮声明源码目录
将以下代码放到 pom.xml 里面然后放到源码的根目录中

注意：确保采用正确语言级别，tomcat8.5 我采用 java8 的语法

安全中间件的设计思路和简单实践

相关文章：

安全中间件的设计思路和简单实践

试卷扫描成电子版方法分享，这个方法不要错过

【PostgreSQL的CLOG解析】

腾讯云国际站代充-阿里云ECS怎么一键迁移到腾讯云cvm？

东方晶源亮相第十一届半导体设备年会，共话发展“芯”机遇

git修改历史commit信息

基于K8S环境部署Dolphinscheduler及简单应用

Linux的ln命令

深入了解Bear Necessities Hackathon黑客松的优胜者们

mysql-tokudb使用qa

对比学习论文综述总结

【BASH】回顾与知识点梳理（二十三）

用 Python 写一个 NoSQL 数据库

Spring Security自定义登陆界面和密码验证逻辑

Android布局【LinearLayout】

搭建grafana+loki+promtail日志收集系统

Electron+vue3项目使用SQLite3数据库

SpringSpringBoot常用注解

题目：2566.替换一个数字后的最大差值

使用 NLP 进行文本摘要

React 第五十五节 Router 中 useAsyncError的使用详解

React Native 导航系统实战（React Navigation）

8k长序列建模，蛋白质语言模型Prot42仅利用目标蛋白序列即可生成高亲和力结合剂

渗透实战PortSwigger靶场-XSS Lab 14：大多数标签和属性被阻止

HBuilderX安装（uni-app和小程序开发）

【C++从零实现Json-Rpc框架】第六弹 —— 服务端模块划分

Go 语言并发编程基础：无缓冲与有缓冲通道

从“安全密码”到测试体系：Gitee Test 赋能关键领域软件质量保障

WebRTC调研

在RK3588上搭建ROS1环境：创建节点与数据可视化实战指南