這里要討論的是，如何讓數千計的開發人員在安全防守安全編程上，得到有效的效果。有人說，我干了xx年，手上從來沒有一個項目出過安全漏洞; 還有人說，我一個人做的x項目，也從來沒有出現過安全漏洞; 呵呵，集體的智慧不由個人意志來控制，木桶漏水取決于最短的一塊。

[[117757]]

一、內防

內防是需要苦練內功的一塊，因為招聘標準不一導致技術團隊的水平不一，一個上千人的技術團隊，一定要有一定的固定流程進行上線質量的把控。

1.1 基礎

基礎包括了：基礎代碼框架、基礎網絡環境、基礎硬件環境、基礎系統環境。

基礎代碼框架：統一的去除xss\sql注入等第一層的框架服務，確保出現在每個技術人員的入職學習流程中。

基礎網絡環境：業務隔離和靈活兼顧的網絡，對基礎運維網絡工程師有更高的要求，確保每一臺新上線的機器都在正確安全的網絡中。

基礎硬件環境：確保新的硬件出現在正確安全的地方，安全性要求高的硬件有固定的選擇。

基礎系統環境：新系統的投入，有安全標準的套路安裝和設置。

1.2 走查

走查使變動中的系統周期性也進行了安全檢查。

收集：主要是收集服務，因為公司大了，各種小業務未必會拿得全，特別要關注邊緣業務。一個非常好的點，就是在上線系統中進行收集。

查證：各種偵測手段，掃描腳本，應該流程化，代碼化，盡可能縮短全公司運行時間，同時盡最大可能擴大面積。

1.3 緊跟

緊跟是各種開源軟件如果正在被使用，需要對其安全變動公告進行緊跟。盡可能在重大漏洞發布后最短時間里解決，縮小影響時間。

這里要求對全公司所使用的開源項目進行有效的登記記錄工作，而且上千人的公司，很有可能會漏掉。一個非常好的點，就是在上線系統中進行開源項目檢測。

1.4 重點

重點是指對經常報漏洞的項目進行重點關注，確保這些項目：1.不引用或保存重要數據 2.不與其他業務在受信網段 3.更加頻繁的重復前面三點

1.5 重要

重要項目一定要堅持原則，絕對禁止數據的流動、絕對禁止明文重要數據的存放，即便是ceo說可以也不行。

二、外攻

外攻是指通過上面的一系列手段，依舊無法控制短板的項目或人出現，于是要做的事情就是盡一切手段盡快地把這短板找到。

2.1 外援

外援有很多，包括各種白帽平臺、安全廠商平臺。下血本也要和他們搞好關系，心甘情愿被敲詐，當有發現重大短板時第一時間取得聯系是非常有效的。

2.2 自建

自建安全響應平臺是對外援的補充，許多短板像xss sql注入都是很顯而易見的問題，許多還不足以“下血本”，但積小成大，經常出現短板的團隊，需要考慮技術培訓等活動。

三、另類

非技術漏洞導致的泄密、個人管理密碼被盜、VPN密碼被盜等類似的另類事件，要求各部門不應該出現扁平化的權限控制系統，每人控制一塊，可以減少個人失誤擴大變成災難。

四、總結

一個互聯網技術企業，絕對不是老板出多少錢就一定不會再出現安全漏洞的，也不是老板出的錢越多就代表越重視的，真正的重視體現在研發人員的日常工作中。

你的企業沒有出現過安全問題，不代表你的團隊沒有短板，更不代表你的線上沒有漏洞，更不代表你的用戶數據沒有在黑市上買賣。

不在乎有沒有漏洞，就是認真。