好看的言情小说,欢乐颂第一季

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

危險(xiǎn)！安全人員和開發(fā)運(yùn)維人員之間的誤解

安全團(tuán)隊(duì)和開發(fā)運(yùn)維人員團(tuán)隊(duì)之間的誤解可將企業(yè)置于業(yè)務(wù)風(fēng)險(xiǎn)之中

超過10多年行業(yè)經(jīng)驗(yàn)，技術(shù)領(lǐng)先，服務(wù)至上的經(jīng)營(yíng)模式，全靠網(wǎng)絡(luò)和口碑獲得客戶，為自己降低成本，也就是為客戶降低成本。到目前業(yè)務(wù)范圍包括了：成都網(wǎng)站制作、網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)，成都網(wǎng)站推廣，成都網(wǎng)站優(yōu)化，整體網(wǎng)絡(luò)托管，小程序制作，微信開發(fā)，成都App制作，同時(shí)也可以讓客戶的網(wǎng)站和網(wǎng)絡(luò)營(yíng)銷和我們一樣獲得訂單和生意！

從物理、金融風(fēng)險(xiǎn)，再到戰(zhàn)略和運(yùn)營(yíng)風(fēng)險(xiǎn)，今日企業(yè)被種種風(fēng)險(xiǎn)所包圍。企業(yè)和員工必須就這些風(fēng)險(xiǎn)進(jìn)行溝通，這反而會(huì)促進(jìn)企業(yè)團(tuán)結(jié)一心。這種溝通需要IT人員、安全人員和開發(fā)運(yùn)維人員(DevOps)的通力合作。這些團(tuán)隊(duì)?wèi)?yīng)當(dāng)清晰地認(rèn)識(shí)到應(yīng)用的安全性和業(yè)務(wù)風(fēng)險(xiǎn)波動(dòng)之間的關(guān)聯(lián)，這會(huì)讓他們進(jìn)一步明了自身在解決安全風(fēng)險(xiǎn)時(shí)的職責(zé)。相對(duì)的，失敗的溝通也會(huì)讓整個(gè)企業(yè)處于危險(xiǎn)之中。

傾向于聘請(qǐng)開發(fā)運(yùn)維人員的企業(yè)通常會(huì)追求高投入產(chǎn)出比、內(nèi)部的持續(xù)創(chuàng)新，以及高敏感度的客戶響應(yīng)能力。大多數(shù)領(lǐng)導(dǎo)團(tuán)隊(duì)最恐懼的就是對(duì)手的創(chuàng)新和進(jìn)步，以及疏遠(yuǎn)了本應(yīng)抓住的客戶而導(dǎo)致銷售額損失。因此，安全團(tuán)隊(duì)的話語權(quán)遠(yuǎn)遠(yuǎn)不如開發(fā)運(yùn)維團(tuán)隊(duì)，更不要說阻止后者了。即使在最理想的情況下，安全團(tuán)隊(duì)也只能對(duì)他們產(chǎn)生一些影響。

安全團(tuán)隊(duì)要想和商戶以及開發(fā)運(yùn)維人員進(jìn)行有效溝通，就需要了解應(yīng)用安全和企業(yè)面臨的風(fēng)險(xiǎn)波動(dòng)之間的關(guān)聯(lián)。如果能實(shí)現(xiàn)這一目標(biāo)，安全團(tuán)隊(duì)將會(huì)在信息風(fēng)險(xiǎn)事宜上更有話語權(quán)。然而，如果對(duì)這些風(fēng)險(xiǎn)置若罔聞，企業(yè)將會(huì)遭受各種安全問題的困擾，團(tuán)隊(duì)地位也會(huì)一落千丈。

避免溝通失敗的***步，就是了解開發(fā)團(tuán)隊(duì)不需要的安全措施。某些***實(shí)踐指南就不尊重技術(shù)現(xiàn)實(shí)，比如“加密數(shù)據(jù)庫(kù)中所有數(shù)據(jù)”，這樣的指南顯然不具備實(shí)際意義。標(biāo)準(zhǔn)應(yīng)該適合應(yīng)用，并且對(duì)于開發(fā)團(tuán)隊(duì)具有可行性。那些缺乏開發(fā)經(jīng)驗(yàn)的安全團(tuán)隊(duì)常常誤入這個(gè)陷阱。

除此以外，執(zhí)行安全測(cè)試時(shí)漏洞信息管理的欠缺是害處多多的。檢測(cè)工具會(huì)誤報(bào)，雖然確定了這些漏洞，但是這些“漏洞”不能反映系統(tǒng)或軟件的真正弱點(diǎn)。工具還會(huì)錯(cuò)報(bào)所檢測(cè)到漏洞的嚴(yán)重程度，而導(dǎo)致的不合理優(yōu)先級(jí)。在與開發(fā)運(yùn)維團(tuán)隊(duì)溝通時(shí)，漏洞誤報(bào)既浪費(fèi)時(shí)間，也降低了安全團(tuán)隊(duì)的可信度。

***的結(jié)果是：對(duì)缺乏兼容性的漏洞加以溝通，或形成未修復(fù)漏洞的日志。最壞的結(jié)果是：開發(fā)團(tuán)隊(duì)把時(shí)間浪費(fèi)在了沒用的補(bǔ)丁上。應(yīng)用的安全性常常難以捉摸，所以許多開發(fā)團(tuán)隊(duì)僅憑自身是難以理解漏洞的。如果他們無法認(rèn)識(shí)到這些內(nèi)容，他們就無法正確評(píng)估漏洞的風(fēng)險(xiǎn)，也不會(huì)知道該如何解決它們。而兼容和支持恰恰是開發(fā)團(tuán)隊(duì)取得成功的關(guān)鍵。

開發(fā)運(yùn)維團(tuán)隊(duì)需要和安全團(tuán)隊(duì)溝通哪些內(nèi)容?

當(dāng)安全團(tuán)隊(duì)與開發(fā)者溝通漏洞時(shí)，漏洞必須確實(shí)存在且被精確測(cè)評(píng)，安全團(tuán)隊(duì)對(duì)漏洞影響的說明會(huì)讓開發(fā)運(yùn)維團(tuán)隊(duì)更加心中有數(shù)。針對(duì)性的補(bǔ)救建議至關(guān)重要，它需要盡可能和開發(fā)團(tuán)隊(duì)所使用的語言和框架相符。這使它能更容易解決問題，漏洞可以更快也更有效地被修復(fù)，修復(fù)漏洞的時(shí)間產(chǎn)出比也會(huì)得以改善。目標(biāo)明確的漏洞修復(fù)也更容易一次性成功。

安全團(tuán)隊(duì)還可以為漏洞的處理以及合規(guī)提供有價(jià)值的指導(dǎo)。一旦因?yàn)槁┒炊鴮?dǎo)致處罰或關(guān)停服務(wù)，開發(fā)團(tuán)隊(duì)需要及時(shí)獲得這些漏洞信息并***時(shí)間進(jìn)行修正。

除了漏洞，安全團(tuán)隊(duì)還可以就系統(tǒng)架構(gòu)建議進(jìn)行進(jìn)一步溝通，來更好的設(shè)計(jì)應(yīng)用以減少系統(tǒng)因?yàn)楹弦?guī)要求而受到的種種束縛。舉例而言，將信用卡相關(guān)事宜交給可信的第三方可以避免系統(tǒng)需要受不符合PCI-DSS的評(píng)估。另一個(gè)例子，不進(jìn)行非必要的個(gè)人身份信息存儲(chǔ)(PII)以避免人工管理數(shù)據(jù)的風(fēng)險(xiǎn)。營(yíng)銷人員經(jīng)常想要存儲(chǔ)所有可訪問的數(shù)據(jù)，但是系統(tǒng)設(shè)計(jì)師需要理解儲(chǔ)存過多的數(shù)據(jù)對(duì)隱私和安全的影響以及相伴的風(fēng)險(xiǎn)。

安全團(tuán)隊(duì)和開發(fā)運(yùn)維團(tuán)隊(duì)之間的誤解會(huì)讓企業(yè)面臨風(fēng)險(xiǎn)。在與業(yè)務(wù)風(fēng)險(xiǎn)相關(guān)的應(yīng)用安全已經(jīng)對(duì)業(yè)務(wù)造成了影響時(shí)，安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)出面進(jìn)行溝通。如果安全團(tuán)隊(duì)可以從品牌、金融、戰(zhàn)略等方面進(jìn)行風(fēng)險(xiǎn)評(píng)估，那么他們就會(huì)成為開發(fā)運(yùn)維團(tuán)隊(duì)最可靠的諫言者，并幫助開發(fā)運(yùn)維團(tuán)隊(duì)建立和維護(hù)安全的系統(tǒng)。

【本文是專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

標(biāo)題名稱：危險(xiǎn)！安全人員和開發(fā)運(yùn)維人員之間的誤解
文章起源：http://www.fisionsoft.com.cn/article/ccchish.html

新聞中心

其他資訊