这里想探讨的是如何让千千万万的开发者在安全防御和安全编程上得到有效的成果。有人说,我工作了xx年,从来没有在项目中出现过安全漏洞;别人说我一个人做的x项目从来没有安全漏洞;呵呵,集体智慧不能以个人意志为转移,漏木桶要看最短的那一块。1、内线防守内线防守是一个需要努力的部分,因为不同的招聘标准导致不同级别的技术团队。一个上千人的技术团队,必须有一定的固定流程来把控上线质量。1.1基础基础包括:基本代码框架、基本网络环境、基本硬件环境、基本系统环境。基础代码框架:统一去除xss\sql注入等一级框架服务,确保它们出现在每个技术人员的入职和学习过程中。基础网络环境:以业务隔离和灵活性为核心的网络,对基础运维网络工程师的要求更高,要保证每一台新上线的机器都在正确安全的网络中。基础硬件环境:保证新硬件出现在正确安全的地方,对安全要求高的硬件有固定的选择。基本系统环境:新系统投资、常规安装和安全标准设置。1.2演练演练对不断变化的系统进行定期安全检查。代收:主要是代收服务,因为公司大,各种小企业不一定能全部搞到,边缘业务要特别注意。一个很好的点是在在线系统中收集。验证:各种检测手段和扫描脚本要精简编码,尽可能缩短整个公司的运行时间,同时尽可能扩大区域。1.3立即跟进如果正在使用各种开源软件,需要密切跟进其安全变更公告。力争在重大漏洞发布后的最短时间内解决,缩短影响时间。这就需要对整个公司使用的开源项目进行有效的注册和记录,几千人的公司很可能会错过。一个很好的点是在线系统中进行开源项目检测。1.4重点关注是指重点关注频繁报告漏洞的项目,确保这些项目:1.不引用或保存重要数据2.不与受信任网段内的其他业务共享3.更频繁地重复前面三点1.5重要重要事项我们必须坚持原则,绝对禁止数据流动,绝对禁止重要数据明文存储,即使CEO说可以。2.外攻外攻是指项目或人的出现,通过以上一系列手段仍然无法控制短板,所以要做的就是尽早找到短板。2.1外援外援很多,包括各种白帽平台和安全厂商平台。发现重大短板后尽快与他们取得联系是非常有效的。2.2自建自建安全响应平台是对外援助的补充。很多缺点比如xsssqlinjection都是很明显的问题。很多都不够“花大价钱”,而是积少成多,往往有短期团队。需要考虑技术培训等活动。3.替代性非技术漏洞导致泄密、个人管理密码被盗、VPN密码被盗等事件要求各部门不能有扁平化的权限控制体系。每人控制一件,可以减少个人失误,扩大变化。陷入灾难。4.综上所述,对于一家互联网科技公司来说,绝对不是老板花大钱就不会再有安全漏洞,也不代表老板花钱越多就越重视有薪酬的。真正的重视体现在研发人员的日常工作中。仅仅因为你的公司没有安全问题,并不意味着你的团队没有弱点,也不意味着你的在线网络没有漏洞,更不意味着你的用户数据没有在黑市上交易。有没有漏洞不要在意,认真点就行。
