企业产品网络安全建设日志0725

文章目录

    • 背景:
    • 解决方案

背景:

三方依赖安全风险管理与提升是我司推行的安全策之一略。交由测试部管理负责推进。

前天遇到的挑战是某后端部门排期出现问题,本应该做漏洞提升的时间被其他工作插入。时间有压力自然会想到变通之法。

团队有人A提出,是否有必要按照某软件报的漏洞信息实施安全提升工作。

特别是搬出来A之前在,其他企业的经验,即

1 报漏洞,不修漏洞

2 外部渗透爆出的特定风险才予以修复

以及进一步提出了安全升级工作的性价比多少

显然,这种说法是安全工作中的一个挑战。当时,测试部门相关领导就有点懵了。因为推动时间也蛮长了,做出了:只要升级一部分,易升级的组件即可。

基础团队的伙伴过来找,为什么特定组件不进行修复?基础的安全种子显然已经埋下。

在我了解了前因后果后做了进一步的分析:

我们的信息安全策略就是通过覆盖三防组件风险,降低我们产品自身的风险

开发团队消极应对的症结在于各子项目排期插入严重,只能诉诸于价值论

测试团队需要进一步支持,因为组件升级,许可证升级以及后续的编码安全建立都是一串蚂蚱

A前大厂的策略站不住脚

安全宣讲和必要的沟通是无法回避的

解决方案

  • 针对项目排期问题:寻求项目同学提供支持
  • 针对安全升级复杂度问题:了解到基础研发同学已做了预研,部分部门已推进完毕,将上述信息做了同步
  • 针对升级方案推进者的疑惑进行答疑解答:推动者任务测试部门领导负责,需要为其提供行动的理论支撑。
  • 针对升级方案被推进者:会议拉通,充分讨论,统一思想。
    最终比较成功将该事件处理完毕。
相关推荐
treesforest15 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
上海云盾第一敬业销售15 天前
深入解析WAF的工作原理与机制
web安全·ddos
憧憬成为web高手15 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub15 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
zhengfei61115 天前
小白级手册——全面剖析红队信息收集思考
网络·安全·web安全
爱网络爱Linux15 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
持敬chijing15 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
顾凌陵15 天前
Web安全二阶段综合测试:知识点速查与实战技巧
安全·web安全
Chengbei1115 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss
vortex516 天前
Linux进程权限继承研究:从setuid()到exec()与system()的行为差异
linux·服务器·系统安全·suid