圣海伦山,躲在云端

为什么我不进行代码审核

这并不意味着它们没用

转到Eric Higgins的个人资料 Eric Higgins封锁UnblockFollow继2018年10月15日之后

我之前写过关于我认为安全文化很重要的原因 。在那篇文章中,我提到我的一些客户对我不审核他们的产品代码感到惊讶。以下是三个原因:

  1. 攻击者认为更大
    产品软件中的潜在缺陷并不是威胁参与者的唯一机会。它们会攻击更简单的目标,例如开发人员工具或构建服务器。这些提供了令人难以置信的访问级别,并且不太可能得到保护和监控。将安全计划集中在组织的运作方式而不仅仅是代码上,将有助于您捕捉这些其他风险因素。
  2. 未知的未知数 研究人员尽最大努力了解您的产品如何运作, 在很短的时间内寻找潜在的问题。不要紧,他们 怎么 许多问题发现,还是有东西从他们 没有 发现的风险。监控异常事件可以更好地检测意外行为,未检测到的问题,并帮助您在晚上睡觉。
  3. 软件永远不会完成 您的产品是一种生物 - 不断发展,以满足您的客户和您的业务需求。一旦收到审计结果,下一次提交就会使其失效。即使您放弃其他所有内容并解决每个报告的问题,也可以快速引入新问题或回归。将您的安全计划视为一个需要增长和适应您的产品而不是复选框的流程。

我不能在这里写下这些,但我可以通过啤酒与你分享与这些相关的故事。

上面列出的原因都不应该被误解 - 审核代码中的潜在漏洞仍然是值得的 。如今,甚至可以使用自动化解决方案,这可能比招聘研究人员更具成本效益。如果你在市场上的时候,随意伸手 ,我很乐意为您提供一些建议。关键是,我更喜欢更全面的方法,专注于更广泛的领域,以更好地保护我的客户。代码审核很重要,但作为深思熟虑的安全计划的一部分。

通常会有一些问题给组织带来最大的风险。与您的团队一起进行轻量级威胁建模练习 将帮助您更快地发现它们 。这是一个有趣的思想实验,团队渴望参与。定期举办这样的练习是建立健康的安全文化,传播意识和提高安全性的一部分。

查看英文原文

查看更多文章

公众号:银河系1号

联系邮箱:public@space-explore.com

(未经同意,请勿转载)