2020-01-01"插件分析和外部依赖以及补丁管理“:这其实就是安全中最典型的问题同时又是我们最容易处在处理与不处理之间的事情。
”永恒之蓝“印象非常深:但是事后查过,这个补丁的出现远远早于国内爆发时期,这其实就涉及到了一个现象-安全意识。自己作为一个从事运维十余载的老兵同样不可能层层意识到这么多问题,毕竟精力有限且主业不在此-不过这种意识我又觉得确实必须有。
今天的东西很实际且非常实用:“发现问题、控制问题、分析问题、解决问题”。无乱是运维还是安全这都是必须的。
感谢老师的分享,学习中提升自己。今天是元旦、学习中新的一年开始了、祝老师新年快乐,谢谢一直以来的辛勤付出。作者回复: 谢谢~
2
2020-01-01node项目可通过depcheck检查未使用的依赖项,通过npm audit检查依赖项中的已知漏洞 1
2020-01-01老师,新年快乐作者回复: 新年快乐
1
2020-01-10插件属于资产的一部分,每套系统在架构设计的时候就会明确使用什么插件,什么版本,即在架构评审阶段就获取到这个信息,后续版本更新在变更发布系统中审批,这两个阶段的信息同步到cmdb中,这样是否能从源头对插件有个全面统一试图的管理,再辅助相关工具定期检查对比,实现数据准确性。作者回复: 个人感觉比较理想。对于开发来说,在maven中加一个依赖是很简单的。如果还强制要求增加一个审核的流程,尽管安全性更高,但对开发来说,额外的负担确实太大了。
2020-01-09公司主要根据公开漏洞库,对涉及的漏洞进行修补。公司没有专门的安全人员,主要由开发人员兼顾,主要采取人工方式发现漏洞,修复问题。
建立插件漏洞的防护体系,做好以下几点:1.整理插件,剔除无用插件;2.管理插件补丁更新;3.使用公共漏洞库,发现漏洞,分析危害,修复漏洞。4.研究并应用工具,提高覆盖面和效率;5.关注插件漏洞,但不仅仅关注插件漏洞,还要关注依赖库、工具、操作系统和框架等可能存在的漏洞。
2020-01-02执行mvn org.owasp:dependency-check-maven:check会以当前时间下载最新的CVE漏洞库,现在新年刚过,会报“Unable to download meta file: https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-2020.meta; received 404 -- resource not found”错误。解决办法:1. 调整当前日期为2019年12月31日,2. 等待网站的新漏洞文件发布作者回复: 赞
2020-01-02安全工作由开发工程师、测试工程师还是安全工程师来防范?作者回复: 这就得由公司领导来定义了。大公司一般有专门的安全部门,因此会由安全工程师来防范。
2020-01-01试着去安装了这个OWASP dependency check,可是这个工具用不了了,有个“new year bug”。
记得之前用其他工具扫描过android的漏洞,扫描到好多依赖包的CVE 问题,都是通过升级这些依赖包解决的。
对于第二个问题,有个疑问,比如现在数据库用的是mysql 5.7.18,os用的是ubuntu 16.04,可是这些组件都是用的公有云提供的现成的,比如数据库是阿里云的rds,os也是直接安装在ECS上,这样的话,这些CVE的漏洞威胁是不是就不那么大了?因为阿里云已经做了一层安全隔离?作者回复: 对于第二个问题,是的。阿里云会提供一些安全检测的能力,随意问题不是那么严重。我在用阿里云的安骑士的时候,它也会经常提醒我去更新各种插件。
2020-01-01公司很少会主动弥补漏洞,都是等检查未通过后弥补作者回复: 对于大部分公司都是这个情况,所以需要有人做好向上教育,并自上而下推动整改。。