“大公司”的安全问题

    今天看到一个漏洞，是关于一个“大公司”（互联网公司,员工总数超过一千）某个功能存在水平权限漏洞的问题，让我对大公司的安全问题又有了新的想法：

   之前在给ASRC(阿里巴巴安全响应中心（Alibaba Security Response Center))和TSRC(腾讯安全应急响应中心（Tencent Security Response Center）)提漏洞的时候是怀着崇拜的心情在找漏洞，相对于小公司，大公司一般有自己的安全部门，有不少安全领域的专家型的人物，所以安全做得好也在情理之中，但是，由于公司制度或者执行力度上的不同，最终在一些小的模块中，却也存在在比较低级的漏洞，我想原因大概有以下三点：

    第一，专家型人物一般主要负责网络或者系统层面的漏洞，比如DDOS，LINUX内核提权之类，常常不能有效地指导一线的开发人员。

    第二，互联网业务要求有很快的开发速度，对于没有多少安全开发经验的一线开发者来说，完成功能是第一位的，漏洞只有在遇到的时候才想办法修改。

    第三，安全部门是和业务相配合的一个部门，只有业务的负责人主要要求安全部门进行安全开发上的指导，或者要求安全部门进行安全检查的时候，安全部门才会介入业务中，而对于那些自认为没有安全问题的负责人，有些功能是可以绕过安全部门上线的。

    既然看到了问题，那么有什么办法可以破解这种情况呢？也许下面的方法可以试试：

    第一，对于网络和系统层面的安全性，还是需要专家级人物主导，但对于WEB开发方面的安全，需要加强对开发人员的培训，至少让一线的开发人员了解WEB安全常见的问题、产生的原因以及危害，这样一线的开发人员在设计功能模块的时候就已经能避免一些简单的安全问题了。

    第二，大公司的安全部门一般比较集中，这样的好处是在技术攻坚的时候有更多的建设性建议，但对于一线开发人员的示范作用功能却不大，为了提高安全人员的示范作用，可以让安全部门的同事到一线的业务部门轮岗，在实际的开发环境中和开发人员一起完成业务功能的开发，并有针对性的宣传安全知识。

  第三，对于安全问题，主管一定要有清醒的认识，所有对外提供服务的功能，必须有安全部门的参与，如果前期没有进行安全问题的检查，后续的开发一般也不会去检查前期的问题，业务积累长了之后，安全问题一量暴露出来，就肯定是个大问题。