主要观点：产品成名客户增多后，需用分布式系统服务客户，其建设虽难但有趣，安全至关重要。安全成为分布式系统重点后，虽投入增加但仍有安全问题持续存在，如 OWASP 十大威胁多年未变。通过 Verizon 的 DBIR 分析可知分布式拒绝服务攻击和凭证相关攻击等持续存在，开发者可采取如速率限制、监控流量、负载均衡、使用临时凭证、谨慎日志、多因素认证等措施预防，还可利用 MITRE 攻击框架提前嵌入安全。
关键信息：

• 分布式系统与产品增长相关，建设难且有趣，安全重要性增加。
• 安全成本高，忽视安全会导致更多工作和损害。
• 已知安全问题持续存在的原因包括软件变化易出错和攻击者创新。
• DBIR 显示某些攻击在过去 10 年未变，开发者可采取措施预防。
• 可利用速率限制等措施预防分布式拒绝服务攻击，利用多种方式预防凭证相关攻击。
• 开发者应利用本地安全团队和 MITRE 框架提前应对安全问题。
  重要细节：
• 分布式系统服务客户增多后，简单系统易出现瓶颈。
• 软件开发者曾后期考虑安全，如今早期考虑但情况因组织规模和成熟度而异。
• 安全成本不仅是财务方面，还影响信任、声誉和监管。
• 分布式系统安全与其他系统类似，存在已知持续问题。
• 可利用速率限制、监控流量等预防分布式拒绝服务攻击，利用多种方式预防凭证相关攻击。
• MITRE 攻击框架可提供攻击者攻击手段和解决方案。