1. 极安网首页
  2. 网络安全新闻

【安全产品话题讨论】安全产品怎么就不安全了?

安全产品漏洞频发,由此引发的一系列安全事件也让人唏嘘,这些事件本身不禁让人们想反问一句,安全产品怎么就不安全了?本期话题将就“安全产品的安全问题”展开讨论,如果你也对这一话题感兴趣,有不一样的思考,可在文末评论区留言互动~

【安全产品话题讨论】安全产品怎么就不安全了?-极安网

安全产品常见的安全问题有哪些

@dawenjun

安全产品就像是一个简化版的服务器,终端的常见的问题,例如系统漏洞等软件问题,风扇故障等硬件问题,弱口令等基线问题都会时有发生

@ toddddna

以前有360提权,chkrootkit提权,ossec提权

@网空闲话

安全设计、安全开发、安全测试、安全响应,整个流程都有问题

能用、好用、管用、爱用。现在多数停留在能用,勉强能用阶段

安全产品自身的安全问题涉及哪些因素

@dawenjun

环境因素,(不限于天花板漏水的机房、落了N层灰的楼顶),这些可能导致安全产品的硬件问题

系统因素,很多安全产品系统虽说是定制化的,但还是linux的底层,部分也包含Web界面,很难保证没有漏洞

人员因素:研发人员没有足够安代码安全设计意识时,会产生很多漏洞问题

@ toddddna

安全相关的产品,是人类用代码编写的,同样也会有漏洞,而且危害更大,因为,很多安全产品运行的权限都很高

@snail2333

安全产品,研发开发,开发以后没有经过安全人员测试,进而导致rce之类的相关漏洞

甲方购买产品以后,没有更改产品的弱口令等,导致弱口令入侵,对于弱口令,安全厂商应该在产品出售以后,要求客户第一次登录后,强制更改口令措施

安全产品厂商,急于赚钱,在管理模式上,安全人员和研发人员,只是在检测方式上进行沟通交流,安全人员没有在产品整个生命周期进行跟随,导致安全漏洞层出不穷

安全公司,研发流动大,新招进来的人员没有经过开发规范培训等,导致我行我素的事情出现,也是安全问题出现的问题之一

有些项目竟然是实习生参与,刚毕业或者没毕业的实习生,没有任何经验,安全意识,心理问题等还不成熟,甚至把源码公开发布,有些竟然传到github

有些公司也是迫于甲方要求压力,领导压力,一个项目急于应付,以完成任务为目标,故安全问题,必然暴露

@网空闲话

开发环节问题很多,一群没有安全开发经验的程序员,写出一堆问题代码,代码缺陷发生率是千分之六

根源,投入不够。火眼、卡巴,早期问题漏洞频发,这些年很少听说了

@si1ence

主要原因是大家对安全厂商的要求和对普通软件厂商的期望是不一样的,大家从内心普遍认为安全厂商的对安全的理解会更加深刻会更加注重代码的规范,规避更多的安全风险,这是普遍的用户期望;但是实际上很多安全厂商的研发过程,并没有很多专业的安全人员参与;很多资深的研发、架构师本质上对安全的理解深度还不是很够,加上目前很多厂商为了赶进度,导致开发周期缩短安全测试之类的操作,无论是时间上还是人力上都需要更加的投入

另外一个方面,即使是安全公司其实安全人员的地位也很一般,多数还是以安服居多在研发过程看来只是一个不写代码的交付人员而已,最多算是一个测试人员产出远远没有一个开发来的多,而且招聘难度大,懂攻防与代码的安全人员往往薪资要求更高

一个企业要做SDL需要投入大量的成本,如果没有很坚定的决心和大领导的支持,很难做起来;安全工作毕竟是在给业务部门找麻烦,业务开发部门又是企业盈利的主要来源,二者和谐共处难度较大

@jary

安全公司的开发也只是普通的程序员,如果安全公司内部并不注重SDLC,不进行内部测试、安全攻防、安全宣导,那跟其他的软件开发是一样的,还记得某服2018的时候,企业内部安全都还没搭建呢?你说怎么保证产品安全?

@水木逸轩

我自己毕设写Src的时候也出现过这种问题,开发不规范,只是赶着功能实现,但是公司不得SDL吗?

本文转载:FreeBuf,不代表 极安网 立场,转载请注明出处:https://secvery.com/1515.html