在互联网安全大会的第二天一开始,bash漏洞被爆出,又是一片哗然。这让我对业界种种声音,进行了很多的思索,有了与之前截然不同的想法。
在互联网飞速发展的今天,越来越多的实践证明,在安全问题上,不经过认真细致的设计和评估,仅靠事后的测试检测,加上出事后各种推诿补丁,会越来越乱,代价之大,无法估计,效果之差,更令人瞠目。这是参加两天的互联网安全大会的一个收获。
打补丁不是解决安全问题的办法,永远只是权宜之计。因为一个产品上的补丁,永远也不能和产品达到完美的和谐,这里的和谐,在软件开发领域中,就是Brooks博士所看重的“概念完整性”。设想一件衣服上出现一个补丁,两个补丁,直到最后满是补丁,你怎么想?
在这个年代里,对软件产品而言,补丁这个词,真的像极了它的本意,永远也不能无缝融入产品本身,和产品本身有着本质的不协调。
发布一个产品之前,基本上是一个稳定的团队在做,但是之后的维护,可能就是换了一批人,思路、技能,都不同,尤其重要的是,对一个产品内部最核心的“概念”认识也会千差万别。即便是最初的团队来一直在维护,也因为时间线被拉长,热情消退,想法改变而使补丁和产品之间,有很大的鸿沟。更有甚者,补丁都是本火烧眉毛的事情逼着赶出来的,哪里有空去想什么一致性?
所以说,做一个产品,初期好好做,不要想着到后边打补丁,打补丁是一种不得已的办法,不要总是逼着自己用这个不得已的办法,这是一味药,可以在紧急的病态里发挥一点作用,但是有其副作用。良好的设计,和规范的实现,才是减少bug和漏洞的唯一有效方式。就像好的软件是做出来的,而不是测试出来的一样。
当然,再认真详尽的设计也无法根除漏洞,但这是个总体收益/成本最低的方法论,看看千疮百孔补丁摞补丁的 windows吧!这些年,产品团队付出的代价加上使用者(例如一些企业内的运维)付出的代价有多少呢?加上由各种漏洞和后门带来那些损失,代价又是多少?
令人失望的是,很多人依然没有意识到好好的、踏踏实实做好设计是最低成本的方案,反而迷信所谓各种安全产品和安全从业人员,让他们也不堪重负。最重要的是,安令形势一天比一天恶劣混乱。因为指望他们,让信息世界变得有序、安全,是缘木求鱼,根本不现实的。安全,应该是从IT产品的策划者、设计师、实现者、检测人员,再到配合的周边产品等等一起来共同完成的一个目标,安全产品和安全从业人员,实际上是很外围的辅助手段。
问题是设计好好做,需要成本和时间,这是必然的,但是对厂商来讲,这不是出次品再打补丁的借口,什么都不会设计,何必出来混呢?做的慢,跟不上市场的节奏,可以招能力强的人,或者和能力强的厂商合作、外包,等等方式。你总得付出相应的成本,做出相应的工作,才能获得收益和利润,空手套白狼只是忽悠。
不要说这就是互联网思维,这玷污了“互联网”这个词,因为互联网这个事物本身带有一层“用户利益和用户价值至上”的观念,而不是“厂商利益至上”,用户利益不可以牺牲。并且,做好与快速,本身没有质的矛盾。
不要告诉我你就这点设计能力,再仔细也就只能这样了,更不要告诉我你何必关心用户的安全问题。上进心,良知和责任如果都没有了,比出一千一万件安全事故更可怕。
相关推荐
例如,WannaCry病毒就曾利用了Windows操作系统的MS17-010漏洞进行大规模扩散,如果用户及时安装了相应的安全补丁,就有可能避免被这种病毒攻击。 通常情况下,安全漏洞修复补丁的安装程序会以"setup.exe"文件的形式...
通常,累积补丁包含了多个单独的安全补丁,旨在解决一系列相关或不相关的漏洞,以简化用户的更新流程。在这个案例中,FMJJ补丁可能包含了针对CVE-2017-10271以及其他潜在安全问题的修复代码。 提供的压缩包文件中,...
这个补丁主要解决了一个在Oracle 11.2.0.1版本中的严重安全漏洞,该漏洞被标记为CVE-2012-1675。CVE(Common Vulnerabilities and Exposures)是用于识别已知安全漏洞的全球唯一标识符,有助于跟踪和管理这些漏洞。 ...
Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux ...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包3麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包3麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
经过文件目录查看分析得知用友UClient安装后,会在用户目录下新建uclient文件夹,根据看到的NCLogin65.jar文件,结合java运行进程信息,分析得知是一些界面和登陆逻辑代码,nc_client_home则是NC应用依赖的其他一些...
在网络安全领域,补丁通常是用于修复软件或系统中已知安全漏洞的小型程序,旨在增强系统的安全性,防止恶意攻击者利用这些漏洞对用户的数据和系统进行侵害。 Windows XP是微软的一款经典操作系统,尽管它在2014年...
RedHat Openssh漏洞补丁包是针对RedHat6版本中OpenSSH服务的一项重要安全更新。OpenSSH是一款在类Unix系统上广泛使用的网络服务,它提供了安全的远程登录和其他网络服务,如SFTP和SCP。然而,如同任何软件一样,...
WebLogic(CVE-2018-2893)安全漏洞预警,oracle官方发布了2018年4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),因该漏洞修补不善导致被绕过。...
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625) 补丁包 对应的weblogic的版本是12.1.3.0 有需要的下载
本细则旨在规范补丁管理流程,通过有效的管理和更新,减少系统中存在的安全漏洞,从而防止计算机受到利用这些漏洞的各种恶意攻击,确保计算机系统的安全性和稳定性。 #### 二、适用范围 本细则适用于各类项目的补丁...
2017中国互联网安全大会PPT,其中包括9个分论坛:大数据与威胁分析、工业互联网安全论坛、关键信息基础设施论坛、漏洞挖掘与源代码安全、密码技术应用论坛、移动终端安全论坛、应急响应论坛、云计算2.0下的安全创新...
标题 "cve-2019-2725修复相关的补丁p29694149_10360190115_Generic.zip" 指涉的是一个针对CVE-2019-2725漏洞的安全更新。CVE-2019-2725,全称“Common Vulnerabilities and Exposures”,是2019年发现的一个特定安全...
在IT安全领域,保持软件和系统更新以修复漏洞至关重要,特别是对于像OpenSSH这样的关键组件。OpenSSH是一种广泛使用的安全工具,它提供了在不同主机之间进行安全远程登录和其他相关网络服务的功能。然而,随着时间的...
java文件中为 百度网盘地址 包含三个压缩包: p13390677_112040_Linux-x86-64_1of7.zip p13390677_112040_Linux-x86-64_2of7.zip p13390677_112040_Linux-x86-64_3of7.zip , 相关下载链接:...
Tomcat 安全漏洞(CVE-2023-28708) Tomcat 开放重定向漏洞(CVE-2023-41080) Tomcat Session 反序列化代码执行漏洞(CVE-2021-25329) Tomcat 拒绝服务漏洞(CVE-2021-42340) Tomcat 输入验证错误漏洞(CVE-2023-45648) ...
然而,像任何其他软件一样,OpenSSH也可能存在安全漏洞,需要定期更新和打补丁以保持系统的安全性。 在2019年,OpenSSH被发现存在一个名为CVE-2019-16905的输入验证错误漏洞。这个漏洞允许攻击者通过精心构造的公钥...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
安装这个补丁是修复漏洞的关键步骤,它可以消除潜在的安全风险,防止恶意攻击者利用此漏洞对系统造成损害。因此,作为系统管理员,及时安装官方发布的安全补丁是确保系统安全的重要措施。 **安全策略与防范措施:**...
此外,使用非官方补丁可能存在风险,如系统不稳定、数据丢失甚至安全漏洞。因此,在使用"unlock-all-v120"补丁前,务必备份重要数据,并确保你了解可能面临的风险。尽管如此,对于需要在Mac上运行多种操作系统的用户...