默认安全的网络知识
百度了一下,基本上没有找到有价值的信息,可能是关键词不对
忽然想起来这个词来源于英文翻译,原文是security by default ,在bing里面搜索一下,找到了几个
- 国内默安科技公司的官网 标题里面有security by default ,这应该是他们公司创建的愿景吧,但翻了半天网页,没有发现具体的介绍
- 是微软的Secure by default in Office 365
找到一句 “Secure by default” is a term used to define the default settings that are most secure as possible. However, security needs to be balanced with productivity. This can include balancing across: Usability: Settings should not get in the way of user productivity. Risk: Security might block important activities.
翻译过来:“默认安全”是一个术语,用于定义尽可能安全的默认设置。然而,安全性需要与生产力相平衡。这可以包括平衡:可用性:设置不应妨碍用户的工作效率。风险:安全可能会阻止重要活动。 - 腾讯src写的 “安全需要每个工程师的参与”-DevSecOps理念及思考
默认安全(Secure by Default)
这一思维至关重要。拿编码环节来说,持续的快速构建也意味着需要快速的产生代码,而如何快速的产生安全的代码变的越发重要。在开发人员能力短期无法质变(或不停的有人力交接或新人加入等)时,通过提供默认安全的开发框架或者默认安全的组件可能很好的防止犯低级错误,比如搞Web开发的同学肯定知道,一些新的开发框架中都内置了一些安全机制或者安全操作库,比如得益于框架内置的anti-csrf token安全机制,你在一个基于CodeIgniter框架并且打开了该项配置的应用中可能很难找到CSRF漏洞。再比如当你使用Go或Rust语言构建系统时,基本上也杜绝掉了C/C++中常见的缓冲区漏洞及攻击,这是语言特性中默认安全原则的体现。当然,默认安全的原则并不仅仅限于代码,Web接入层上默认覆盖的WAF、默认安全配置的云/容器/数据库/缓存等基础系统和服务、统一的登录鉴权认证服务、KMS(密钥管理系统)、保护关键数据的票据系统、零信任(Zero Trust)架构等等,都是默认安全的很好实践。这也要求安全团队要参与到整个系统架构、基础设施等的建设中。反过来也会要求更多的组织架构保障以及安全与研发团队之间的沟通协作能力。
实际的实践中,跟“零信任”等安全思维很相似,表面上看起来好像很简单,其实根本没理解背后所需要做的工作的复杂性。真正想要尽可能的分析系统并且使之各个环节做到默认安全是一件长期和不那么容易的事情。虽然回报巨大,但它要求从根本上改变安全部门与研发部门协同工作的方式。需要两者更紧密的合作起来,一方面增强应用安全和软件设计相关的知识,提升安全编码能力;另一方面要以易用和安全的方式将安全防护措施融入到开发框架、模板、系统架构中,并且还要有持续有效的检查和监控机制。此外,它也需要研发人员及其管理人员做出承诺,要把上述这些默认安全的框架和系统用起来。如果安全不是所有人的一致目标,便很难实施默认安全。
比较多,但也没有直接告诉你啥是默认安全,感觉是一种思维方式?
还有搜到有点介绍,信通院 研发运营安全白皮书-2020年 但也不太具体,可惜没有google的结果(上不去)
默认安全的未来
其实上面说的都对,都是在说默认安全,但什么是默认安全,用一句话来说,我概括了一下
默认安全是通过正确配置软件所依赖的组件,以及在系统运行环境中添加的安全防护措施,来减少系统漏洞的数量,提高漏洞利用门槛,降低漏洞的危害,以确保应用程序初始状态下处于安全状态。
其实默认安全就是除了开发编码中的所有安全防御措施的集合,让安全成为软件的基本属性,研发工程师能等到那一天,不需要考虑安全问题,就是写写写,因为已经实现了你怎么写都安全了。期待ing
关于软件开发安全更多材料http://www.github5.com/view/457
76
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
