在互联网安全大会的第二天一开始,bash漏洞被爆出,又是一片哗然。这让我对业界种种声音,进行了很多的思索,有了与之前截然不同的想法。
在互联网飞速发展的今天,越来越多的实践证明,在安全问题上,不经过认真细致的设计和评估,仅靠事后的测试检测,加上出事后各种推诿补丁,会越来越乱,代价之大,无法估计,效果之差,更令人瞠目。这是参加两天的互联网安全大会的一个收获。
打补丁不是解决安全问题的办法,永远只是权宜之计。因为一个产品上的补丁,永远也不能和产品达到完美的和谐,这里的和谐,在软件开发领域中,就是Brooks博士所看重的“概念完整性”。设想一件衣服上出现一个补丁,两个补丁,直到最后满是补丁,你怎么想?
在这个年代里,对软件产品而言,补丁这个词,真的像极了它的本意,永远也不能无缝融入产品本身,和产品本身有着本质的不协调。
发布一个产品之前,基本上是一个稳定的团队在做,但是之后的维护,可能就是换了一批人,思路、技能,都不同,尤其重要的是,对一个产品内部最核心的“概念”认识也会千差万别。即便是最初的团队来一直在维护,也因为时间线被拉长,热情消退,想法改变而使补丁和产品之间,有很大的鸿沟。更有甚者,补丁都是本火烧眉毛的事情逼着赶出来的,哪里有空去想什么一致性?
所以说,做一个产品,初期好好做,不要想着到后边打补丁,打补丁是一种不得已的办法,不要总是逼着自己用这个不得已的办法,这是一味药,可以在紧急的病态里发挥一点作用,但是有其副作用。良好的设计,和规范的实现,才是减少bug和漏洞的唯一有效方式。就像好的软件是做出来的,而不是测试出来的一样。
当然,再认真详尽的设计也无法根除漏洞,但这是个总体收益/成本最低的方法论,看看千疮百孔补丁摞补丁的 windows吧!这些年,产品团队付出的代价加上使用者(例如一些企业内的运维)付出的代价有多少呢?加上由各种漏洞和后门带来那些损失,代价又是多少?
令人失望的是,很多人依然没有意识到好好的、踏踏实实做好设计是最低成本的方案,反而迷信所谓各种安全产品和安全从业人员,让他们也不堪重负。最重要的是,安令形势一天比一天恶劣混乱。因为指望他们,让信息世界变得有序、安全,是缘木求鱼,根本不现实的。安全,应该是从IT产品的策划者、设计师、实现者、检测人员,再到配合的周边产品等等一起来共同完成的一个目标,安全产品和安全从业人员,实际上是很外围的辅助手段。
问题是设计好好做,需要成本和时间,这是必然的,但是对厂商来讲,这不是出次品再打补丁的借口,什么都不会设计,何必出来混呢?做的慢,跟不上市场的节奏,可以招能力强的人,或者和能力强的厂商合作、外包,等等方式。你总得付出相应的成本,做出相应的工作,才能获得收益和利润,空手套白狼只是忽悠。
不要说这就是互联网思维,这玷污了“互联网”这个词,因为互联网这个事物本身带有一层“用户利益和用户价值至上”的观念,而不是“厂商利益至上”,用户利益不可以牺牲。并且,做好与快速,本身没有质的矛盾。
不要告诉我你就这点设计能力,再仔细也就只能这样了,更不要告诉我你何必关心用户的安全问题。上进心,良知和责任如果都没有了,比出一千一万件安全事故更可怕。
相关推荐
经过文件目录查看分析得知用友UClient安装后,会在用户目录下新建uclient文件夹,根据看到的NCLogin65.jar文件,结合java运行进程信息,分析得知是一些界面和登陆逻辑代码,nc_client_home则是NC应用依赖的其他一些...
2018年新爆发的安全漏洞勒索病毒系统修复补丁,有相关说明
2017中国互联网安全大会PPT,其中包括9个分论坛:大数据与威胁分析、工业互联网安全论坛、关键信息基础设施论坛、漏洞挖掘与源代码安全、密码技术应用论坛、移动终端安全论坛、应急响应论坛、云计算2.0下的安全创新...
-----------------------------...有关于CVE-2019-2725漏洞信息涉及版本, 代码执行危害请百度查询 Cve-2019-2725 升级安装开始 1,cache_dir 这个目录 需要 自己建立 mkdir /Oracle/Middleware/utils/bsu/cache_dir
WebLogic(CVE-2018-2893)安全漏洞预警,oracle官方发布了2018年4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),因该漏洞修补不善导致被绕过。...
Weblogic反序列化漏洞补丁(FMJJ),这是一个累积补丁,代号FMJJ
Centos7 openssh7.4补丁修复升级方法: 1.上传并解压:Centos7-openssh补丁包(最新fix CVE-2021-41617 #2008884).zip 2.到服务器对应的解压目录 执行命令安装 : rpm -Fvh openssh-* 3.安装完成后执行命令查看修复...
java文件中为 百度网盘地址 包含三个压缩包: p13390677_112040_Linux-x86-64_1of7.zip p13390677_112040_Linux-x86-64_2of7.zip p13390677_112040_Linux-x86-64_3of7.zip , 相关下载链接:...
windows漏洞补丁
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625) 补丁包 对应的weblogic的版本是12.1.3.0 有需要的下载
漏洞补丁
通过升级openssh到OpenSSH8.4 修复openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
weblogic反序列化补丁包
在 heartbleed 的官网上有关于 CVE-2014-0160 漏洞的详细信息,这是关于 OpenSSL 的信息泄漏漏洞导致的安全问题。改 Heartbleed bug 可以让互联网的任何人读取系统保护内存,这种妥协密钥用于识别服务提供者和加密...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包3麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包3麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
Microsoft --------- Microsoft已经为此发布了一个安全公告(MS14-076)以及相应补丁: MS14-076:Vulnerability in Internet Information Services (IIS) Could Allow Security Feature Bypass (2982998) 链接:...
漏洞描述:微软爆出特大安全漏洞,会引发大面积远程攻击甚至完全控制,危害程度跟"冲击波"类似,强烈建议各网友下载此补丁.未通过身份验证的远程攻击者可能会利用此问题危及基于 Microsoft Windows 的系统的安全并获取对...
Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux ...
redhat bash漏洞补丁包含文件:bash-4.1.2-15.el6_5.2.i686.rpmbash-4.1.2-15.el6_5.2.x86_64.rpmbash-3.0-27.el4.i386.rpmbash-3.0-27.el4.x86_64.rpmbash-3.2-33.el5_11.4.i386.r... redhat bash漏洞补丁 包含文件...