谈论源码_与普通人谈论安全性

最新推荐文章于 2024-09-10 10:21:38 发布
最新推荐文章于 2024-09-10 10:21:38 发布
阅读量88 收藏
点赞数
文章标签: java python 人工智能 编程语言 大数据
原文链接:https://opensource.com/article/18/2/talking-about-security
版权

谈论源码

大多数人1并没有完全意识到安全性是多么有趣,或者没有什么安全性专业知识可以使您对其他人了解。 2 我们知道这令人着迷,引人入胜并且很酷, 事实并非如此。 因此,当安全人员去找其他人(在本文中,我们称其为“普通人”),并告诉他们做错了什么,他们无法发布他们的产品,或部署他们的应用程序,或者他们必须立即停止销售订单,并且有可能在接下来的几天内停止销售订单,直到问题解决为止,然后那些正常的人并不总是会对我们认为合适的感恩水平做出React。

个人的负面回应-对这些建议。

问题是这样的:安全人员知道事情应该怎样做,并且那是安全的。 他们接受了培训,参加了会议,阅读了文章,浏览了沉重的书籍, 3所有这些资料都很清楚:一切都必须安全。 安全通常意味着“封闭”,尤其是在安全人员没有充分参与设计,实施和操作流程的情况下。 另一方面,普通人通常只是希望事情正常。 在这两种观点之间存在根本的脱节,即直到安全是从开始到结束的任何项目的最高要求,我们都将无法解决。 4

[下载DevSecOps入门指南]

现在,普通人并不傻。 5他们知道事情不可能总是完美的进行; 但是他们希望他们尽力而为。 这是我们需要克服的差距7 。 我之前曾将管理降级作为一个概念进行过讨论,这是故事的一部分。 我们保证安全人员应做好的一件事就是解释存在可以减轻的风险。

对于安全人员来说, 应该通过“失败关闭”来减轻这些风险。 风险防范很容易:您只需停止系统运行,就不会存在滥用风险的风险。 但是对于很多人来说,还有其他风险:一个例子是,该组织实际上可能去完全歇业,因为一些 _____ 8安全的人变成了订购系统关闭。 如果他们让我选择在停止下订单的风险与丢失公司内部数据的风险之间取得平衡,我会接受吗? 好吧,我可能有。 但是,如果没有为我提供选择权,并且没有说明风险,那么我别无选择。 如果我经营一家公司,这些是我想听到的。

但是,不仅仅这种风险。 在启动前两周参加一个项目会议,并宣布该项目“因为对该API的调用未得到验证”而无法部署,这根本没有好处。 对任何人。 但是,作为一名开发人员,我与企业主的词汇和关注点不同。 安全人员问,而不是说:“您需要在此API上使用身份验证,否则您将无法继续进行操作”,如果在此API上提供的数据不正确,或者是由想要提供此信息的人提供的,将会发生什么情况?干扰系统运行?” 以我的经验,大多数开发人员都对他们正在运行的系统及其处理的数据的正确运行感兴趣,并对其进行了投资。 提出表明缺乏安全性可能产生的影响的问题,比起最初的“讨论”(基本上等于“否”)更有可能获得积极的React。

不要误会我的意思; 有时候,我们作为安全人员需要坚定并坚持不懈。 9但最终,是系统,组织,业务部门或资源的所有者做出最终决定。 用他们能够理解的语言与他们交谈是我们的工作,并确保他们尽可能地了解他们。 不只是说“不”。

1.我的意思是“那些不懂这些可怜的不幸的人,不像您,亲爱的和聪明的读者。”

2.可悲的是,我的妻子似乎属于这一类。

3.通常在封面上有锁的图片。

4.祝你好运。

5.虽然我们都遇到了应有的愚蠢的普通人,但我敢打赌您也遇到了应有的愚蠢的安全人员,所以这可以平衡。 6

6.可能超过平衡。 让我们留在那里。

7.鸿沟。

8.在此处插入您喜欢的形容词专有名词。

9.比喻:我不容忍将任何武器(包括枪支)带到您的工作地点。

本文最初出现在安全博客Alice,Eve和Bob上 ,经许可重新发布。

下载DevSecOps入门指南

接下来要读什么

翻译自: https://opensource.com/article/18/2/talking-about-security

谈论源码

cumo3681
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于springboot+vue的“体质测试数据分析及可视化设计”程序设计实现【毕业论文,源码
qq_42003636的博客
03-21 2956
摘 要 PAGEREF _Toc7748 I目 录 PAGEREF _Toc21453 II第1章绪论 PAGEREF _Toc14970 11.1背景及意义 PAGEREF _Toc14561 11.2 国内外研究概况 PAGEREF _Toc9430 11.3 研究的内容 PAGEREF _Toc28716 1第2章 相关技术 PAGEREF _Toc21117 32.1B/S架构2.2Java技术介绍2.3mysql数据库介绍2.4springboot框架。
Flink架构,源码及debug
u013939918的博客
07-02 1827
工作中用Flink做批量和流式处理有段时间了,感觉只看Flink文档是对Flink ProgramRuntime的细节描述不是很多, 程序员还是看代码最简单和有效。所以想写点东西,记录一下,如果能对别人有所帮助,善莫大焉。 说一下我的工作,在一个项目里我们在Flink-SQL基础上构建了一个SQL Engine, 使懂SQL非技术人员能够使用SQL代替程序员直接实现Application, 然后在此基础上在加上一些拖拽的界面,使不懂SQL非技术人员利用拖拽实现批量或流式数据处理的Appl...
游戏开发公司源代码防泄密解决方案
09-14 4084
公司介绍 XXXX公司是中国知名的游戏开发运营商,在中国实现融合音乐舞蹈模拟类游戏、体育模拟类游戏、仿真赛车模拟类游戏、格斗动作模拟类游戏、竞速模拟类游戏、多人在线角色扮演类游戏、虚拟养成等游戏方面,处于领先地位。该公司的所有产品都是自主研发的,走的是自主研发的战略。 决策背景: 研发部门的研发的图纸以及源代码属于公司核心机密,一旦被泄密,将会给公司带来很大的损失。但是现状却非常不容乐观
[转帖]NET 源代码的安全性
aiizumt4059的博客
07-11 116
转自:http://www.alphatom.com/content/view/191/69/ .NET 源代码的安全性 作者 Jason.NET 2005-04-22 13:02 .NET开发效率的确是高,也非常简单,比起Delphi,BC,Vc来说,在某些方面有很多的优势。我已经打算开始做一位共享软件的作者,看...
谈论源码_6,000名自由职业者谈论金​​钱,幸福和对未来的希望
07-09 113
谈论源码More than 6,000 US-based freelancers responded to a new in-depth survey. I dug through the data and pulled out the most interesting insights, which paint a picture of optimistic professionals who ...
基于springboot准妈妈孕期交流平台设计实现【毕业论文、源码
qq_42003636的博客
03-18 1774
随着科学技术的飞速发展,社会的方方面面、各行各业都在努力与现代的先进技术接轨,通过科技手段来提高自身的优势,准妈妈孕期交流平台当然也不能排除在外。准妈妈孕期交流平台是以实际运用为开发背景,运用软件工程原理和开发方法,采用springboot框架构建的一个管理系统。整个开发过程首先对软件系统进行需求分析,得出系统的主要功能。接着对系统进行总体设计和详细设计。总体设计主要包括系统功能设计、系统总体结构设计、系统数据结构设计和系统安全设计等;详细设计主要包括系统数据库访问的实现,主要功能模块的具体实现,模块实现关
MyBatis 源码解析:SQL 语句的执行机制
weixin_48509063的博客
06-12 213
通过前面两篇文章,我们完成了对 MyBatis 所有配置文件(包括配置文件和映射文件)解析过程的分析。回忆一下我们最开始给出的小示例(如下),经过前面的跋山涉水,我们终于完成了第一行代码的 99% (手动滑稽),这最后的 1% 就是创建 SqlSessionFactory 对象。所有的配置解析最后都会封装到 Configuration 对象中,接下去就是调用 SqlSessionFactoryBuilder#build 方法创建 SqlSessionFactory 对象,实际使用的是 DefaultSqlS
文件管理
03-18
在IT行业中,文件管理是一项基础但至关重要的任务。无论是在操作系统层面、编程语言中,还是在各种应用程序中,我们...无论是开发者还是普通用户,理解并掌握有效的文件管理技巧,都能极大地提高工作效率和数据安全性
这8点能教你如何更好地阅读代码
08-14 770
“我讨厌阅读别人的代码”是所有经验层级上的软件开发人员之间普遍存在的问题。然而,这又是一个必要的技能,特别是对于开发人员进入到现有的代码库中的时候,如果你以正确的角度和正确的工具来处理它,这可能是一个愉快和有启发性的体验。 我们讨厌阅读别人的代码的原因是因为代码不是我们自己写的。这不是因为我...
别再裸奔了,你的项目代码安全吗,再不加密就out了
攻城狮的家园
11-25 823
在工作中,有时候我们需要部署自己的Python应用 或进行私有化部署时,尤其现在都是通过docker镜像部署,我们并不希望别人能够看到自己的Python源程序。 加密Python源代码的方式,是将.py文件转化为.so文件,这样加密的可靠性非常高,无法破解,也就很好地保护了源代码。 加密过程中会产生很多多余文件,加密后可以删除,我这里用了脚本一步完成 加密流程 1、项目文件...
源代码安全管理
mark90_cheng的博客
08-22 4267
众所周知,代码类数据有一个显著特征,即文件进程众多且调用关系复杂。如何在不影响日常工作的情况下保护源代码安全,显然非常重要。通过DSA数据安全隔离技术,实现源代码在终端、网络以及服务器存储场景下全周期的安全管理,防止内部代码有意、无意泄露、扩散出去。与进程无关且不对源代码本身进行处理,充分考虑了源代码进程众多、调用关系复杂这一显著特征, 具有高安全性与稳定性。
spring事务详细讲解-深入浅出
小电玩
09-08 457
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
Java多线程:深入探索与详细解析
m0_63550220的博客
09-08 1444
作为Java中的基本执行单元,线程是轻量级的进程,由线程ID、程序计数器、Java虚拟机栈、本地方法栈、和线程私有内存等部分组成。每个线程都有独立的执行路径,但共享进程的资源(如内存)。:进程是系统资源分配的基本单位,它包含了一个或多个线程以及这些线程运行所需的资源。在Java中,JVM(Java虚拟机)就是一个进程,而运行在JVM上的多个线程则共享JVM的内存空间。:并发指的是多个任务在同一时间段内交替执行,而并行则指的是多个任务在同一时刻真正同时执行。
Java集合:Stack详解
最新发布
yang_brother的博客
09-10 510
Java 中的Stack类是一个后进先出(LIFO, Last In First Out)的数据结构,它继承自Vector类。尽管Stack是一个可用的类,但它被认为是遗留的,并且在新代码中不推荐使用。通常建议使用Deque或ArrayDeque作为替代。
基于SpringBoot的旅游管理系统
heye0910032的博客
09-08 362
随着科技的发展,旅游管理系统的信息化成为提升旅游服务效率的关键。本系统采用JSP技术和SpringBoot框架,结合MySQL数据库,旨在实现一个功能全面、操作简便、安全可靠的旅游管理平台。系统通过需求分析、系统设计、功能实现和测试,确保了良好的用户体验和数据处理能力,为旅游业务的现代化管理提供了强有力的技术支持。本研究成功开发了一个基于SpringBoot的旅游管理系统,该系统通过集成多种旅游管理功能,显著提高了旅游服务的效率和质量。系统的用户友好界面和强大的后端功能,使得管理员和用户都能从中受益。
币安/OK现货合约量化系统APP开发
I592O929783的博客
09-08 528
后端:考虑系统需要处理大量实时数据和高频交易的特点,选择高性能的编程语言和技术框架,如Python的Django或Flask框架,Java的Spring Boot等。用户交互界面:设计直观易用的用户交互界面,包括交易界面、策略配置界面、风险管理界面等,方便用户进行交易操作、策略配置和风险管理。市场数据接入:开发市场数据接入模块,从币安等交易所或数据服务商获取实时的市场数据,包括行情数据、订单簿数据、成交数据等。前端:选择适合开发复杂界面的前端框架,如React、Vue.js等,以提供用户友好的交互界面。
自定义Stater
m0_63624484的博客
09-07 707
我们平时在导入依赖的时候,大部分导入的都是xxx-spring-boot-stater。那是因为它们都基于spring的规则将写好的框架定义成一个stater,这样方便springboot引用它们写好的功能。那我们为什么也要自定义stater呢?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值