位于尤他州Midvale的Burton Group公司副总裁兼研发主管Anne Thomas Manes认为，既然WS-Security说明书已经准备被批准，而很多安全产品都在支持它，各个组织就应该开始开发一个Web服务安全策略。

　　然而，在她最近的报告Web Services Security: A Plethora of Products中，Manes强调现在对配置安全还没有标准。在过渡期，她建议使安全性外部化以使它能被集中地管理和控制。现在，她认为XML安全网关和Web服务管理产品是最好的解决办法。

　　Manes说:“大多数人正在度过原形期，他们正在开始严格的Web服务开发。很多公司还没有真正付出同样的努力。他们都在让个人团队做他们想做的事情。”

　　根据Burton Group的分析，很少有组织在产品中使用WS-Security (WSS)。Manes认为这些公司现在就需要开始组织起来早点为Web服务安全进行计划。她说:“一旦小鸡跑出了鸡舍，就很难再把它们追回来。”

　　WS-Security是为在基于SOAP的应用中实现应用级安全而开发的标准。它的1.0版由OASIS在2004年4月发布，根据Burton的报告，它包括了核心说明书和四份其它的说明书，一起为用户名标记、X.509证书、安全断言标记语言以及权限表达语言进行定义。

　　Manes建议组织使用传输级安全机制——HTTP认证、安全套接层相互认证以及SSL加密——以及应用级安全。

　　Manes认为组织还需要考虑以下问题:“你必须知道什么需要审计以及进入业务的最低认证需求。你如何控制对业务的访问?你如何阻止有人不安全地暴露你的Web服务?Web服务让系统开放，但你不能让它不安全的开放。”

　　根据Burton Group的分析，超过36家厂商支持1.0版的WSS说明书和Web服务安全功能。支持WSS的产品必须包含一个WSS提供器——能处理WSS SOAP头和至少一个标记文件的例程。Burton Group把这些厂商归入如下几类:Web服务平台、WSS库、Web服务管理、XML安全网关、XML虚拟专用网、Web服务欺骗探察(Web services management，WSM)以及Web服务单点登录及联邦。

　　现在，只有WSM产品和XML网关提供了集中方法来控制安全。Manes说，这些厂商都是在Web服务安全领域的市场领导者。她说:“所有Web服务平台都会用到部署描述符，所以如果你要在WebSphere中使用内建的Web服务安全的话，就不得不自己写一个配置文件，但这只对特定的产品有用。还没有办法拥有一个集中的控制台，把安全选项放入其中。于是开发人员就只好为每个服务配置安全性，很多产品支持WS-Policy，所以它会暴露安全需求，但这不是你配置的方法。”

　　她继续说到:“你不会想使用内建的Indigo或WebSphere的功能，因为没有集中式的方法来管理它。现在，你可以使用AmberPoint或Actional以及定义和实现策略强迫点的功能，而且它们还可以和XML网关一起工作，这是一个很大的优点。”

　　两种WS*说明书已经被提交到标准体系中，它们是WS-Policy和WS-Trust。它们将帮助解决安全配置问题，并降低组织对单个WSM产品的标准化需求。

　　“他们不得不接受WS-Policy进入标准体系。我本来希望今年秋天就行，但我失望了。这是行政问题。因为WS-Policy有太多作者了。一旦进入标准体系，下一步就要开始定义断言语言以及一个标准配置机制。我们很可能还需要三年时间才能解决问题。”

　　至于WS-Trust,，她说:“它是与服务交互时获得信任的更自动化的方法。一种良好的特性网关和管理产品能提供信任映射。一旦你更广泛的使用WS-Trust，它就能为你做这些事。WS-Trust并非是主要的使能者，但它会对市场产生影响。”