这个问题在所有的软件中都存在，包括系统软件。没有办法从架构上完全避免，只能通过严谨的内部测试、客户环境的实际运行、根据反馈进行bug修正等办法进行逐步完善。这就是为什么发布时间长的系统的稳定性是有优势的，因为经过了大量客户环境的检验。...

在实际工作中发现，CFCA广泛应用于金融行业，但是一个感觉就是特别难用，而且多家金融机构同时使用还老冲突，导致应用系统无法兼容使用，怎么搞？

个人认为，针对于自研，首先要制定研发的安全规范，约束开发人员开发的代码，在可覆盖的范围内（比如：模块级别）是“安全的”。同时，在完整的软件生命周期内的各个阶段，包括：编码、构建、测试、上线，加入应用安全的测试，尽可能早地发现应用中存在的安全问题。在不同的阶段，结合不同的环境，如...

第一个构建好软件开发安全生命周期，第二个按照实际的应用需求，把签名、验签、密码控件、数据安全传输、硬加密等等剥离出来变成安全组件，第三个，渗透测试或者是业务安全测试可反向证明。...