作者回复: 意识问题,是最大的问题。内部推广使用CVSS的计量标准是个沟通的好办法!
作者回复: 安全最根本的就是普通的代码写好,我们这个专栏的三个部分,讲的就是怎么写好代码。建议给你们公司的人员看看。
入侵路径这种说法,只对一部分,如果不是很小一部分,安全问题起作用,是类似于防火墙这些技术领域的名词。大部分安全问题,可以通过正常业务逻辑攻击,可以是正常路径。
我们的编写安全的代码这一部分,刚来了个头,先把这一部分跟下来,看看能不能解决你的部分疑问。
作者回复: 有玩笑说,做安全的就像卖保险,没事时遭人白眼;还像是看门的,出事时要背锅。 问题就是,我们即使有能力知道漏洞,也没有能力知道攻击什么时候会来,后果会有多大。
推动要看氛围和制度,有的公司甚至不会允许出现深度防御的安全问题(CVSS计分为0)。
作者回复: 😄运维比窦娥还冤!
开发要学编写安全的代码。大部分的漏洞都是代码问题,都是开发人员弄出来的,😂怎么能不学安全。
有的公司的研发人员入职培训,就必须要通过安全编码的培训。
作者回复: 这是一个信息安全领域常用的思路,如果你研究一下操作系统、语言设计、容器设计,就会发现这个思路的广泛使用。数据泄露的渠道和方法太多了,这个思路可以解决很大一部分的数据泄露问题,但也不是所有的问题。