身为甲方的网站安全工作经验之谈 业务漏洞




如果用一句话来总结甲方的工作经验,那就是:“安全为企业服务”。其实去B公司有偶然因素,也

有幸运成分。去之前A公司邀请我面试,没有向导师请假,就放弃了。B公司找我的时候正好是

暑假,就约定只做暑期实习生。但是在实习期间,我被我的团队深深打动了,这是一个高效、

团结、热情、专业的团队,值得我继续实习。于是我申请了学院。我在B公司度过了大四,并

成功获得了录用。毕业后在B公司待了两年。
 
 
 
我所在的部门当时是一个创业状态的电商团队。当初我的职位是渗透测试工程师,主要从事代

码和业务级安全方面的工作,前期总是一个人。当时敏捷开发还处于试验阶段,DevOps更是

不见踪影。系统还是基于版本的,需要半夜上线的时候维护。这期间有趣的是协助架构师设计

MVC2.0框架,通过框架和系统架构自然地防御常见的漏洞。当然,很多开源MVC框架都有内

置的安全保护功能。部门11年拆分后,去了基础平台架构部,负责公司产品线的安全测试、

代码审核、安全内部培训。工作中慢慢发现,随着安全从业人员能力的提高,在掌握更多安

全知识和理念的过程中,容易陷入来自业务的过度防卫误区。有时候,安全人员觉得系统漏

洞百出,甚至认为系统功能本身就是漏洞。
 
 
功能还是Bug这是个问题!
 
这有点像我之前在知乎上回答的一个问题:某公司的安全人员认为手机验证码必须有6位以上、

,产品经理从易用性的角度认为必须有4位,所以矛盾很多。但是,4位验证码一定不安全吗

?没有更有效的解决方案吗?如果要当年支付密码,必须有数字+大小写字母+特殊字符,必

须是10位以上。如今基本上所有支付使用的密码全部都是6位纯数字,那么安全性是提高了

还是降低了?安全为企业服务。离开业务本身谈论安全性是没有意义的,过分强调安全性

而忽视业务可用性是无稽之谈。无论是系统架构还是网络运营,照搬各种先进的安全理念

和安全框架都会浪费大量资源,达不到预期效果。
 
 
当然,这并不是说安全要无限制地给业务让路,而是说安全人员要时刻思考如何在尽可

能保证业务的前提下维护系统安全,考虑安全和业务的共存。
分享: