32 | 如何评估代码的安全缺陷？

作者回复: 意识问题，是最大的问题。内部推广使用CVSS的计量标准是个沟通的好办法！

作者回复: 有玩笑说，做安全的就像卖保险，没事时遭人白眼；还像是看门的，出事时要背锅。 问题就是，我们即使有能力知道漏洞，也没有能力知道攻击什么时候会来，后果会有多大。 推动要看氛围和制度，有的公司甚至不会允许出现深度防御的安全问题（CVSS计分为0）。

作者回复: 安全最根本的就是普通的代码写好，我们这个专栏的三个部分，讲的就是怎么写好代码。建议给你们公司的人员看看。 入侵路径这种说法，只对一部分，如果不是很小一部分，安全问题起作用，是类似于防火墙这些技术领域的名词。大部分安全问题，可以通过正常业务逻辑攻击，可以是正常路径。 我们的编写安全的代码这一部分，刚来了个头，先把这一部分跟下来，看看能不能解决你的部分疑问。

作者回复: 😄运维比窦娥还冤！ 开发要学编写安全的代码。大部分的漏洞都是代码问题，都是开发人员弄出来的，😂怎么能不学安全。 有的公司的研发人员入职培训，就必须要通过安全编码的培训。

作者回复: 不是，只是一个威胁等级评估规范。

作者回复: 这是一个信息安全领域常用的思路，如果你研究一下操作系统、语言设计、容器设计，就会发现这个思路的广泛使用。数据泄露的渠道和方法太多了，这个思路可以解决很大一部分的数据泄露问题，但也不是所有的问题。