一、开发人员对安全工作的误解
开发人员对安全人员常常有一些偏见,曾经有个大厂开发吐槽他们的安全部门的人不切实际,他们经常强调安全的重要性和漏洞的严重性,但又不能帮开发们解决任何问题,只是一味的“说教”。
同时,又喜欢把小问题极度放大,让开发不停的改漏洞,而这些漏洞在开发眼里危害很低甚至没有危害,不值得修复。从漏洞和风险来看,问题不是来自安全人员,而是来自开发、运维、测试甚至是业务等角色的人。
二、安全人员做开发安全的误区
从安全人员自身角度来看,他们很多人都是做渗透测试、漏洞挖掘等出身,在他们看来,开发人员能写出来漏洞是很愚蠢的行为,但将心比心的讲,实际上在安全公司做开发写出来的程序也有很多漏洞,在开发阶段出现漏洞是难以避免的,正如去年某安全大厂爆出的漏洞影响范围非常大。
如果安全人员太过专注漏洞本身,有解决漏洞的一技之长,往往让自己感觉自我良好,但事实上并非如此,尤其是在甲方,如果只靠一技之长,并不能解决企业所有的安全问题。
所以开发人员和安全人员有思维逻辑上的矛盾,这也是软件开发安全难以打破的屏障。
三、SDL 落地难
从微软提出 SDL 到 DevOps 再到 DevSecOps ,目的是把包括安全在内的很多事情前置化。我们曾经把软件工程挂在嘴边,但后面发现软件开发根本不是个工程问题,因为它不能把所有的事情都标准化。就像产品经理提出需求,开发人员实现需求,实现的方法有很多,产品经理并无法确认实现是否与需求完全一致。
今天一品威客小编就和大家分享到这里。阅读本文之后,或许对您有一定的帮助,了解更多app开发资讯,请关注一品威客网,一个新型创意托付式服务平台!如果你有网络百度推广、app开发、小程序开发,装修,营销策划等需要,欢迎到一品威客网发布任务,让广大服务商为您服务。
交易额: 241.54万元
无 |江苏省 |南京市 |建邺区
交易额: 186.79万元
无 |河南省 |洛阳市 |洛龙区
交易额: 151.77万元
工作室 |浙江省 |台州市 |玉环县
交易额: 128.29万元
公司 |广东省 |深圳市 |南山区
成为一品威客服务商,百万订单等您来有奖注册中
价格是多少?怎样找到合适的人才?
¥1000 已有2人投标
¥3000 已有0人投标
¥3000 已有0人投标
¥300000 已有0人投标
¥50000 已有0人投标
¥10000 已有0人投标
¥5000 已有0人投标
¥10000 已有1人投标