「大公司」的安全問題

今天看到乙個漏洞，是關於乙個「大公司」（網際網路公司,員工總數超過一千）某個功能存在水平許可權漏洞的問題，讓我對大公司的安全問題又有了新的想法：

第一，專家型人物一般主要負責網路或者系統層面的漏洞，比如ddos，linux核心提權之類，常常不能有效地指導一線的開發人員。

第二，網際網路業務要求有很快的開發速度，對於沒有多少安全開發經驗的一線開發者來說，完成功能是第一位的，漏洞只有在遇到的時候才想辦法修改。

第三，安全部門是和業務相配合的乙個部門，只有業務的負責人主要要求安全部門進行安全開發上的指導，或者要求安全部門進行安全檢查的時候，安全部門才會介入業務中，而對於那些自認為沒有安全問題的負責人，有些功能是可以繞過安全部門上線的。

既然看到了問題，那麼有什麼辦法可以破解這種情況呢？也許下面的方法可以試試：

第一，對於網路和系統層面的安全性，還是需要專家級人物主導，但對於web開發方面的安全，需要加強對開發人員的培訓，至少讓一線的開發人員了解web安全常見的問題、產生的原因以及危害，這樣一線的開發人員在設計功能模組的時候就已經能避免一些簡單的安全問題了。

第二，大公司的安全部門一般比較集中，這樣的好處是在技術攻堅的時候有更多的建設性建議，但對於一線開發人員的示範作用功能卻不大，為了提高安全人員的示範作用，可以讓安全部門的同事到一線的業務部門輪崗，在實際的開發環境中和開發人員一起完成業務功能的開發，並有針對性的宣傳安全知識。

第三，對於安全問題，主管一定要有清醒的認識，所有對外提供服務的功能，必須有安全部門的參與，如果前期沒有進行安全問題的檢查，後續的開發一般也不會去檢查前期的問題，業務積累長了之後，安全問題一量暴露出來，就肯定是個大問題。