产品战略专家梁宁确认出席AICon北京站,分享AI时代下的商业逻辑与产品需求 了解详情
写点什么

专访安全宝 CEO 马杰:安全需要做到整条战线的严丝合缝

  • 2011-12-22
  • 本文字数:1509 字

    阅读完需:约 5 分钟

前不久,首次在中国举办的 TechCrunch Disrupt 北京 2011 大会上,创新工场旗下公司“安全宝”获得了创业项目大赛的第二名。他们开发的"安全宝"网站保护系统,为社区内的网站提供一站式安全解决方案,帮助网站防止诸如XSS、SQL 注入、木马、零日攻击、僵尸网络等各种网站安全问题。

针对近期频繁发生的互联网公司用户信息泄露事件,InfoQ 中文站专访了安全宝公司的CEO马杰

InfoQ:这次在多家互联网公司发生的用户信息泄露事件,您觉得发生的原因有哪些?

马杰:我觉得有几个方面的原因。

首先,所有的厂家应该意识到安全是一个长期的过程,不是曾经做过几次相关工作就可以的。我相信每个厂家都是做过一些安全工作的,可是没有长期坚持,所以有问题发生的时候,会给黑客一个机会。

第二,比方说这次信息泄露里面暴露出来的一些密码,并没有加密,说明前端的开发人员对安全的了解还是欠缺。从这个角度来说,这些公司需要对全部开发人员进行安全培训。

第三,这里头能看出一个问题,就是说我们事实上安全的责任在哪?如果把安全的责任推到前端负责业务逻辑开发的工程师身上,实际上他们不是安全专家,但是我们要求他们做出安全专家的事情来,这是现有的整个开发流程、管理流程上错误的地方,也是导致这种事件的根本原因。我们所有人都在要求前端的工程师必须做好安全,那他们明明不是安全专家你怎么能让他做安全呢?总是有疏漏的。所以这就像我们要求自己家里老婆管钱,但是需要老婆给我做个财务分析,她管管钱还行,但她不是专业做财务的人。我觉得这是现在行业的一个问题,一个现状,同时也是很多安全问题的本质原因。

InfoQ:您刚才提到 Web 前端的开发,您觉得对于前端开发来说最重要的安全考量是哪些呢?是否可以举三个最重要的因素?

马杰:这个问题我比较不想回答。为什么?是因为我说三个点,就会漏掉可能 13 个点。为什么?因为安全它是一条很长的防线,任何一个点的缺失就会导致整条防线其实白建了,所以我认为这本身也是对安全的不够了解所造成的。安全不是通过我们加强就可以达到效果的,安全需要做到整条战线的严丝合缝,所以它是一个系统工程。它首先需要参与的人要有安全意识,同时还需要大家也能把各个功能、模块、流程互相之间的缝要接好。

InfoQ:所以您的建议就是:不从 Web 前端,或者是后端服务器这个角度考虑,而是要有专门的专家队伍来去从整体上去思考这件事?

马杰:对,只去解决一、两个点,最后会给自己造成一种安全的幻觉。安全问题需要整体解决。

InfoQ:InfoQ 的读者也是互联网用户,您对他们有哪些安全方面的建议呢?

马杰:几个建议。首先,在各个网站上不要大量使用相同的密码。像这次我们密码泄露的话,可能在别的网站的密码就会被别人猜到。

第二,去访问一些网站的时候,即使是一些比较知名的网站,也不能完全信任,比方说他说要安装一个什么东西的时候。因为每天在中国都会有很多网站被黑客,比如说被黑客挂马,一些网站本身虽然信誉很好,但是他有可能就被别人在里面挂进去病毒,所以你不能信任网站上过来的每一个要求你安装或执行的东西。

第三,在客户端本身,自己在 Windows 上面还是要安装比较合理的一些安全软件。我觉得做到这几点可能就会好很多。

InfoQ:从整体上去考量安全这件事,我觉得这算是这次事件给大家的一个经验教训。除了这点之外,您还有其他建议吗?

马杰:从整体考虑很重要。另外,我们不要把安全责任推到那些本来不应该负责安全的人身上,而是应该让专业的人去做专业的事情。

InfoQ 安全系列—专访韩轶平:整个行业都要提高安全意识

InfoQ 安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

InfoQ 安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ 安全系列—安全问题成为社区热点

2011-12-22 08:052374
用户头像

发布了 479 篇内容, 共 158.1 次阅读, 收获喜欢 50 次。

关注

评论

发布
暂无评论
发现更多内容

Scrum敏捷项目管理真实案例

顿顿顿

Scrum 敏捷开发 敏捷开发管理 敏捷项目管理 scrum工具

在软件定义汽车的时代,低代码究竟给车企数字化转型带来了什么?

优秀

低代码 车企 车企数字化

CodeWhisperer 初体验

天黑黑

AI 亚马逊云 CodeWhisperer

Mac电脑ps ai beta安装教程及ai绘图如何使用

理理

ps AI绘图 ps ai beta Firefly AI使用教程

led显示屏保养技巧

Dylan

故障 LED显示屏 设备日常保养

对应用数据开发还有疑惑?看这篇就够了!数据存储、管理,通通掌握!

HarmonyOS开发者

HarmonyOS

技术的交流 思想的碰撞|2023开放原子全球开源峰会TOC面对面分论坛即将启幕

开放原子开源基金会

开源 社区 TOC

复杂Flink任务Task均衡调度和优化措施

Openlab_cosmoplat

大数据

实现mac电脑与安卓互通|MacDroid 破解版

理理

MacDroid for mac 安卓设备文件传输助手 MacDroid中文 MacDroid破解 mac与安卓同步

玩转服务器之应用篇:从零开始构建小型高可用环境

京东科技开发者

高可用 云主机 云服务器 企业号 6 月 PK 榜

提升您的 MQTT 云服务:深入探索 BYOC

EMQ映云科技

物联网 云服务 mqtt

百度倾力出品|《神经网络机器翻译技术及产业应用》正式上线

飞桨PaddlePaddle

人工智能 深度学习 百度飞桨

一文回顾 Boundless Hackathon at Stanford 首期 Workshop

鳄鱼视界

客服都要下岗了? 当ChatGPT遇见私有数据,秒变AI智能客服!

WorkPlus

华为教育中心:奇趣“童”行庆六一 多彩儿童应用助成长

科技热闻

Java 高效处理千万级数据:技巧与最佳实践

xfgg

Java 大数据

WaveMetrics Igor Pro 9 for Mac(科学计算和数据分析软件)

理理

苹果软件资源站 mac科学计算软件 WaveMetrics Igor Pro 9 Igor Pro 9破解

软件测试/测试开发丨接口测试学习笔记

测试人

程序员 软件测试 自动化测试 测试开发

AI2023下载 Illustrator mac版 2023 年 4 月版(版本 27.5)的新增功能

理理

AI2023下载 Adobe Illustrator2023 AI2023完美解锁版

一文回顾 Boundless Hackathon at Stanford 首期 Workshop

西柚子

重新思考流处理与流数据库

吴英骏

开源 云原生 流处理 ​Rust 实时数据库

一次网络请求中的流量分发过程 | 京东云技术团队

京东科技开发者

数据传输 企业号 6 月 PK 榜 流量分发 网络请求

智能出行 驱动未来|2023开放原子全球开源峰会CARSMOS开源智能出行生态年会即将启幕

开放原子开源基金会

开源 智能出行 CARSMOS

如何在大学校园内合作运营共享电单车

共享电单车厂家

校内共享电单车 共享电动车投放 共享电单车合作 共享电单车厂家

开源创新 协同融合|2023开放原子全球开源峰会开源协作平台分论坛即将启幕

开放原子开源基金会

开源 开源协作

世界500强开滦集团的财务共享建设路径

用友BIP

财务共享

BFF层聚合查询服务异步改造及治理实践 | 京东云技术团队

京东科技开发者

优化技巧 企业号 6 月 PK 榜 BFF层 异步优化

乘云而上,山西软件行业CXO思享会在晋起航

说山水

秒验 iOS端集成指南

MobTech袤博科技

大型 3D 互动开发和优化实践 | 京东云技术团队

京东科技开发者

游戏 3D 企业号 6 月 PK 榜 互动游戏

mac电脑如何远程控制win?微软远程桌面连接工具来帮你!

Rose

Mac远程控制软件 mac电脑如何远程控制win microsoft remote desktop 微软远程桌面连接工具

专访安全宝CEO马杰:安全需要做到整条战线的严丝合缝_安全_郑柯_InfoQ精选文章