最后，在第 10 步中，SOA 安全团队将负责为第三方供应商创建一组标准和应用程序编程接口(Application Program Interface，API)。SOA 的一个主要卖点是，系统将利用其开放性访问第三方供应商提供的服务。每个供应商必须熟悉 SOA 实现安全标准，并清楚地知道服务将如何与 SOA 实现的安全服务进行交互。

　　在整个过程中，必须维护详细的安全术语表，以确保所形成的所有文档采用相同的术语和定义。我建议从 Oasis Security Services TC Glossary 着手。应该与所有供应商共享此术语表，以确保所有人都采用相同的术语。

　　总结

　　在本文中，我们了解了常见 SOA 安全路线图的 10 个步骤：

　　选择正确的团队。

　　制定详细的项目计划。

　　维护 SOA 支持安全决策表

　　使用“内部安全性”和风险管理框架方法创建初步草案。

　　定义内部和外部参与者。

　　确定和使用正确的工具进行需求收集。

　　遵循 SOA 安全实现的 SDLC 流程。

　　找出现有模型并从中吸取经验教训。

　　熟悉 WS-Security 标准。

　　为第三方供应商制定标准。

　　如果遵循所有这些步骤，就在 SOA 安全性方面有了一个好的开头。

　　关注这个包括三部分的系列文章的后续部分，了解 SOA 安全团队进行成功 SOA 安全性实现所需的主要项目：路线图(第 1 部分)、抽象设计(第 2 部分)以及测试用例(第 3 部分)。

　　作者John R. Betancourt 系Intelleges总裁。