freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

話題討論 | 安全產品怎么就不安全了?
2020-09-24 14:29:14

安全產品漏洞頻發,由此引發的一系列安全事件也讓人唏噓,這些事件本身不禁讓人們想反問一句,安全產品怎么就不安全了?本期話題將就“安全產品的安全問題”展開討論,如果你也對這一話題感興趣,有不一樣的思考,可在文末評論區留言互動~

安全產品常見的安全問題有哪些

@dawenjun

安全產品就像是一個簡化版的服務器,終端的常見的問題,例如系統漏洞等軟件問題,風扇故障等硬件問題,弱口令等基線問題都會時有發生

@ toddddna

以前有360提權,chkrootkit提權,ossec提權

@網空閑話

安全設計、安全開發、安全測試、安全響應,整個流程都有問題

能用、好用、管用、愛用?,F在多數停留在能用,勉強能用階段

安全產品自身的安全問題涉及哪些因素

@dawenjun

環境因素,(不限于天花板漏水的機房、落了N層灰的樓頂),這些可能導致安全產品的硬件問題

系統因素,很多安全產品系統雖說是定制化的,但還是linux的底層,部分也包含Web界面,很難保證沒有漏洞

人員因素:研發人員沒有足夠安代碼安全設計意識時,會產生很多漏洞問題

@ toddddna

安全相關的產品,是人類用代碼編寫的,同樣也會有漏洞,而且危害更大,因為,很多安全產品運行的權限都很高

@snail2333

安全產品,研發開發,開發以后沒有經過安全人員測試,進而導致rce之類的相關漏洞

甲方購買產品以后,沒有更改產品的弱口令等,導致弱口令入侵,對于弱口令,安全廠商應該在產品出售以后,要求客戶第一次登錄后,強制更改口令措施

安全產品廠商,急于賺錢,在管理模式上,安全人員和研發人員,只是在檢測方式上進行溝通交流,安全人員沒有在產品整個生命周期進行跟隨,導致安全漏洞層出不窮

安全公司,研發流動大,新招進來的人員沒有經過開發規范培訓等,導致我行我素的事情出現,也是安全問題出現的問題之一

有些項目竟然是實習生參與,剛畢業或者沒畢業的實習生,沒有任何經驗,安全意識,心理問題等還不成熟,甚至把源碼公開發布,有些竟然傳到github

有些公司也是迫于甲方要求壓力,領導壓力,一個項目急于應付,以完成任務為目標,故安全問題,必然暴露

@網空閑話

開發環節問題很多,一群沒有安全開發經驗的程序員,寫出一堆問題代碼,代碼缺陷發生率是千分之六

根源,投入不夠?;鹧?、卡巴,早期問題漏洞頻發,這些年很少聽說了

@si1ence

主要原因是大家對安全廠商的要求和對普通軟件廠商的期望是不一樣的,大家從內心普遍認為安全廠商的對安全的理解會更加深刻會更加注重代碼的規范,規避更多的安全風險,這是普遍的用戶期望;但是實際上很多安全廠商的研發過程,并沒有很多專業的安全人員參與;很多資深的研發、架構師本質上對安全的理解深度還不是很夠,加上目前很多廠商為了趕進度,導致開發周期縮短安全測試之類的操作,無論是時間上還是人力上都需要更加的投入

另外一個方面,即使是安全公司其實安全人員的地位也很一般,多數還是以安服居多在研發過程看來只是一個不寫代碼的交付人員而已,最多算是一個測試人員產出遠遠沒有一個開發來的多,而且招聘難度大,懂攻防與代碼的安全人員往往薪資要求更高

一個企業要做SDL需要投入大量的成本,如果沒有很堅定的決心和大領導的支持,很難做起來;安全工作畢竟是在給業務部門找麻煩,業務開發部門又是企業盈利的主要來源,二者和諧共處難度較大

@jary

安全公司的開發也只是普通的程序員,如果安全公司內部并不注重SDLC,不進行內部測試、安全攻防、安全宣導,那跟其他的軟件開發是一樣的,還記得某服2018的時候,企業內部安全都還沒搭建呢?你說怎么保證產品安全?

@水木逸軒

我自己畢設寫Src的時候也出現過這種問題,開發不規范,只是趕著功能實現,但是公司不得SDL嗎?

@Torjan

另外就是測評機構測評內體系沒有太多考慮安全產品的漏洞問題,大多數是功能性問題,不難發現大多數的安全產品都有資質

安全產品之間又存在重復造輪子,問題怎么不會層出不窮

對乙方來說,安全產品就是業務, 業務居然都不關注安全問題

@寬字節安全實驗室

不遵守安全開發規范,不注重研發成本的投入

圈錢圈慣了,為啥要費力不討好地弄SDL

公關代替安全,既能剩下SDL的經費與精力,還能快速敏捷地開發

@CyAnogeN

其實部分大公司不可否認存在上層很強無論是管理,眼界,技術都很強。底層部門可能就會有種開始摸魚的心態

@瀟然

安全產品的開發過程中,由于成本投入,人員安全能力和意識等原因導致安全產品本身就會存在安全漏洞,真正在安全產品研發過程中實行SDL的應該不多吧,所以會導致安全產品不安全。像提高業務系統安全一樣,將安全產品的各個過程也都嚴格把控,肯定會提高安全產品的安全水平的

如何加強安全產品的“安全性”

@dawenjun

從技術和服務兩個角度考慮,技術角度的話,打鐵還需自身硬,在新型號、版本出來前,做好黑盒、灰盒或者白盒測試,先把部分問題在內部規避。服務角度的話,對于發現的安全問題做好應急響應措施,例如發現漏洞,先為用戶提供規避措施,然后盡快提供升級補丁,將影響降至最低

@qingxp9

貼一段谷歌的安全開發實踐

1600928662_5f6c3b966a32f1fba4fd0.png!small

@pilgrim

做好訪問策略,身份,權限認證,能杜絕很多安全問題

@snail2333

綜合一句話,既然做安全的,肯定有安全技術人員,安全技術人員一定要跟隨產品生產的整個生命周期。是杜絕問題的有效手段之一

@Torjan

得把安全拆2部分來看,一部分安全產品開發,一部分是安全服務,安全服務這塊質量不做過多的描述,但是安全產品開發其實跟傳統的產品開發是一個層面,只是使用場景不同,那么都是產品是不是應該按照成熟的應用安全開發流程來生產

其他

@寬字節安全實驗室

安全公司的安全產品開發竟然不懂安全開發規范,這本身就很朋克

@jary

安全技術人員是要去創造效益的,而不是專門來做內部安全的

現在的安全廠商招的安全人員都是去填坑的,這個坑跳到那個坑

@si1ence

安全技術人員創造收益?直觀的價值體現,不就是做安服,在領導眼里就是賣人頭。遠遠不如做產品賣盒子,一次開發可以各種復制利用。成本才能降下來

踩過坑的資深技術人員,因為年齡大待遇搞被嫌棄;新畢業的萌新,依靠更高的性價比獲得了工作機會繼續踩坑

@snail2333

創造效益,應該先滿足自己產品的普適性,產品的安全可靠性,才能穩步前行

本期話題你還有什么想說的嘛?歡迎留言評論參與互動~

此外,FreeBuf會定期開展不同的精彩話題討論,想了解更多話題和觀點,快來掃碼加入群聊吧~~

回顧往期精彩話題討論可關注專輯:Let's Talk

掃碼入群.png

本文作者:, 轉載請注明來自FreeBuf.COM

# events # 安全產品 # 話題討論
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按時間排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
777766香港开奖结果 小说 30选5的开奖走势图 安徽快三开奖直播视频 心水号码一四五打一生肖 内蒙古11选5玩法说明 三羊配资 北京11选5玩法 北京pk拾开奖直播室 云南快乐10分走势图 江西十一选五爱乐彩 基金配资平台