• 流光奕然
    2019-06-29
    软件安全来源于两个方面,错误的编码,和错误的配置。
    即使是大厂,大多数开发人员安全意识淡薄,所以我们采取跟安全人员红蓝对抗的形式逼迫开发提升安全。
    老师说的我体会太深刻了,没有权威的打分标准,就连root权限运行进程这种严重缺陷都会遭受质疑,所以现在全面按照cvss3.0进行操作。
    小公司甚至有一个人的安全部这种说法,这种级别的开发,别说被黑客入侵了,被路人入侵都实在寻常。现在的黑客都是研究团体,技术水平都很高。

    作者回复: 意识问题,是最大的问题。内部推广使用CVSS的计量标准是个沟通的好办法!

    
     2
  • 醉侠
    2019-03-19
    希望老师后面能多讲讲安全编码的例子或者推荐好的书籍,这块儿确实是很大的弱点
    
     1
  • hua168
    2019-03-18
    老师,开发懂安全方面小公司的都少,他们通用做法就是利用框架,做下简单的防SQL注入,防上传漏洞,没了……
    阿里云后台一提前攻击就让我们运维查他们是怎么进来的和解决方案,因为没有专业安全人员,最后背锅又是我们背锅侠运维,说我们“整天没什么事做,给你们这么高工资,这点事都做不好!”😂这是一点事吗?

    老师有什么安全方面的书推荐下么?有什么方法去分析别人入侵路径吗?我们只能做的监控,看文件修改时间判断,但是入侵路径真的不知道怎么搞😂
    如果提方案去购买阿里云企业级安全防护,上级直接拒绝😓,说白了就是嫌贵,还说我们能力low😂

    作者回复: 安全最根本的就是普通的代码写好,我们这个专栏的三个部分,讲的就是怎么写好代码。建议给你们公司的人员看看。

    入侵路径这种说法,只对一部分,如果不是很小一部分,安全问题起作用,是类似于防火墙这些技术领域的名词。大部分安全问题,可以通过正常业务逻辑攻击,可以是正常路径。

    我们的编写安全的代码这一部分,刚来了个头,先把这一部分跟下来,看看能不能解决你的部分疑问。

    
     1
  • 天佑
    2019-03-18
    我觉得漏洞被利用的可能性,很难评判,全靠主观,安全人员推动时就会没底气。

    作者回复: 有玩笑说,做安全的就像卖保险,没事时遭人白眼;还像是看门的,出事时要背锅。 问题就是,我们即使有能力知道漏洞,也没有能力知道攻击什么时候会来,后果会有多大。

    推动要看氛围和制度,有的公司甚至不会允许出现深度防御的安全问题(CVSS计分为0)。

    
     1
  • hua168
    2019-03-18
    像我们开发一般不用学安全吧?那不是有安全专业的人做吗?如果我们是小公司请不起安全专业人才,怎么办?像那种安全评估系统很贵老板也舍不得买呀……
    一被攻击我们运维就背锅,名曰“背锅侠”😂

    作者回复: 😄运维比窦娥还冤!

    开发要学编写安全的代码。大部分的漏洞都是代码问题,都是开发人员弄出来的,😂怎么能不学安全。

    有的公司的研发人员入职培训,就必须要通过安全编码的培训。

    
     1
  • KASUMIS
    2019-10-08
    我想,是不是可以限制一些私密数据只有专用方法才能访问,或者访问前判断有没有权限。这样起码可以保证出现漏洞也不会泄露重要数据。

    作者回复: 这是一个信息安全领域常用的思路,如果你研究一下操作系统、语言设计、容器设计,就会发现这个思路的广泛使用。数据泄露的渠道和方法太多了,这个思路可以解决很大一部分的数据泄露问题,但也不是所有的问题。

    
    
  • hua168
    2019-03-18
    好的,谢谢…
    
    
我们在线,来聊聊吧