为什么要做这个系列?
因为太忙了,忙工作,忙家庭。很难再像之前一样能做到电脑前码一个小时的字,写半个小时的博客。
但是现在的经验增长快速,有很多值得分享的点
想想这平行世界里的我,实际上并不是每一个人都有这种机会,能有在企业产品安全建设的一线推动的经验
你会分享些什么内容?
我会试着以简短日记的方式分享当天/周发生的一些关键问题及我的解决策略,以及是否有更优的策略,安全产品体验,甲方谈判,可能涉及不同人的协调经验等等
今天分享的内容非常简短:
参加了C型号设备嵌入式设备安全提升的评审会议,并成功推动相关方案通过
比较深刻体会到了相关推进同事的不易,我本身就是该风险隐患的发现者,此外,两个人作战确实有利于正确方案的推进,避免了当场一人受多人压力无法应对的情况。最终推进相关安全方案成功。
安全方案的大致内容:通过增加接口授权,使得产品安全性增强,主要反对观点认为:
- 对于硬件级攻击提升可能作用不大
- 外网防御方案可以认为是对用户安全着想,但设备内网安全是否超限
应对:
接口安全,相对于硬件级攻击,其成本是比较低的。
并非是物理打开,我们就可以不做相关防御。
密钥强度,环境隔离等排查工作告一段落
某部门同事反馈,相关工作已成功完成。邀请参加后续推进会议。
该事项是我推动的事项之一,挑战点是,这是若干年来的长期隐疾。而且不管是排查还是开发实现整改提升,均需要开发内部人士主动推进。
这就天然具有相关困难。不管是排期上还是动力上。
此次我从jwt相关排查入手,一条线牵出一系列的密钥相关强度挑战。通过项目协调整理和后续汇报支持,最终推动此事摸排工作完成。
后续安全提成显然,已经十拿九稳。
这是一个值得开心的事情。
于23:49:58。