企业产品网络安全建设日志0725

文章目录

    • 背景:
    • 解决方案

背景:

三方依赖安全风险管理与提升是我司推行的安全策之一略。交由测试部管理负责推进。

前天遇到的挑战是某后端部门排期出现问题,本应该做漏洞提升的时间被其他工作插入。时间有压力自然会想到变通之法。

团队有人A提出,是否有必要按照某软件报的漏洞信息实施安全提升工作。

特别是搬出来A之前在,其他企业的经验,即

1 报漏洞,不修漏洞

2 外部渗透爆出的特定风险才予以修复

以及进一步提出了安全升级工作的性价比多少

显然,这种说法是安全工作中的一个挑战。当时,测试部门相关领导就有点懵了。因为推动时间也蛮长了,做出了:只要升级一部分,易升级的组件即可。

基础团队的伙伴过来找,为什么特定组件不进行修复?基础的安全种子显然已经埋下。

在我了解了前因后果后做了进一步的分析:

我们的信息安全策略就是通过覆盖三防组件风险,降低我们产品自身的风险

开发团队消极应对的症结在于各子项目排期插入严重,只能诉诸于价值论

测试团队需要进一步支持,因为组件升级,许可证升级以及后续的编码安全建立都是一串蚂蚱

A前大厂的策略站不住脚

安全宣讲和必要的沟通是无法回避的

解决方案

  • 针对项目排期问题:寻求项目同学提供支持
  • 针对安全升级复杂度问题:了解到基础研发同学已做了预研,部分部门已推进完毕,将上述信息做了同步
  • 针对升级方案推进者的疑惑进行答疑解答:推动者任务测试部门领导负责,需要为其提供行动的理论支撑。
  • 针对升级方案被推进者:会议拉通,充分讨论,统一思想。
    最终比较成功将该事件处理完毕。
相关推荐
缘友一世8 小时前
漏洞扫描POC和web漏洞扫描工具
网络·安全·web安全
合作小小程序员小小店12 小时前
Web渗透之身份认证与访问控制缺陷(越权(水平垂直),访问控制(没有验证),脆弱验证(Cookie,JWT,Session等))
安全·web安全·网络安全·asp.net·网络攻击模型
huluang12 小时前
网络安全等级保护要求(10+4 层面)记忆总结
服务器·网络·web安全
kali-Myon15 小时前
NewStarCTF2025-Week2-Web
web安全·sqlite·php·web·ctf·文件上传·文件包含
旺仔Sec1 天前
新疆维吾尔自治区第一届“丝路杯”网络安全大赛暨2026年新疆职业院校技能大赛网络安全赛项竞赛样题
安全·web安全
嗨丶王哪跑2 天前
网络安全主动防御技术与应用
运维·网络·安全·web安全
火白学安全2 天前
《Python红队攻防脚本零基础编写:入门篇(一)》
python·安全·web安全·网络安全·系统安全
好家伙VCC2 天前
**发散创新:渗透测试方法的深度探索与实践**随着网络安全形势日益严峻,渗透测试作为评估系统安全的
java·python·安全·web安全·系统安全
人邮异步社区2 天前
内网攻防实战图谱:从红队视角构建安全对抗体系
网络·安全·web安全
猿与禅2 天前
系统安全-主流密码加密算法BCrypt 和PBKDF2详解
系统安全·加密·密码