主要观点：

• 与朋友讨论开新公司，阐述公司成熟运营需经历的阶段，基于安全默认、设计安全等原则，若从零开始需按流程进行，如有现有条件需相应调整。
• 介绍文中会用到的术语如 SIEM 和 SOAR 等的定义。

关键信息：

• 第一步选身份提供商（IDP），公共或托管 IDP 会影响后续任务及工具选择，接着规划环境、网络等。
• 应用部署根据逻辑结构在子网进行，可通过多种方式解决外部网络访问问题，进行 SAST 和 DAST 测试。
• 产品准备上线时配置防火墙等限制非相关人员访问，部署 SIEM 系统防攻击，企业和初创公司在 SSO 实施上有差异。
• 上线后进行 proactive 行动，如部署 SOAR 系统、建立加密等，还可设置蜜罐报告滥用。

重要细节：

• 公共 IDP 如 Azure 目录服务等，托管 IDP 如 MS AD 等。
• 网络规划中要选择公共、私有或封闭子网等，部署 VPN 服务器并与 IDP 关联。
• 应用部署方式有在网络内部署构建引擎等三种。
• SAST 工具如 SonarQube 等，DAST 工具如 Veracode 等。
• 上线后要推出、配置等 WAF 等，建立安全审计流程等。