22、构建安全架构：从文档记录到项目规划

构建安全架构：从文档记录到项目规划

1. 文档记录的重要性与内容

当你明确了想要达成的目标后，将其记录下来至关重要。记录内容主要包含两个关键元素：
- 目标及原因 ：明确组织所需的关键安全措施及其背后的原理，涵盖这些措施所支持的业务、技术或安全目标，详细说明计划如何为组织带来预期的效益。
- 背景假设与额外工作 ：记录关键假设以及计划中需要他人提供输入的领域，例如可能需要各领域专家提供更详细的实施细节。同时，要在确保可行性和避免过度细节之间找到平衡。

记录这些内容有两个重要作用：一是人员变动时，新成员能清晰了解计划内容及取舍原因，顺利接手工作；二是在后续围绕设计组建项目和与利益相关者审核设计时，提前考虑额外工作和背景假设，有助于确定项目代表人员和审核人员。

2. 案例分析：共享目标与沟通的价值

Principal Cloud Security Architect Dr. Wendy Ng分享的案例表明，在大型旅游服务公司的软件开发工作中，不同业务单元的工作方式、工具和流程存在差异。遵循良好架构原则的开发团队产出更高、代码质量更好，且利用模板确保开发过程的一致性。此外，通过小Scrum团队的日常沟通和协作工具，能及时发现和解决问题，在整个应用生命周期内进行安全评估。这充分体现了文档记录和沟通交流的重要价值。

3. 创建项目的思考与策略

创建项目时，需要建立一个架构项目，为工作提供运营和结构框架。但何时建立项目存在不同情况：
- 自上而下的大型架构项目 ：尽早建立项目有诸多优