专访安全宝 CEO 马杰：安全需要做到整条战线的严丝合缝

前不久，首次在中国举办的 TechCrunch Disrupt 北京 2011 大会上，创新工场旗下公司“安全宝”获得了创业项目大赛的第二名。他们开发的"安全宝"网站保护系统，为社区内的网站提供一站式安全解决方案，帮助网站防止诸如XSS、SQL 注入、木马、零日攻击、僵尸网络等各种网站安全问题。

针对近期频繁发生的互联网公司用户信息泄露事件，InfoQ 中文站专访了安全宝公司的CEO马杰。

InfoQ：这次在多家互联网公司发生的用户信息泄露事件，您觉得发生的原因有哪些？

马杰：我觉得有几个方面的原因。

首先，所有的厂家应该意识到安全是一个长期的过程，不是曾经做过几次相关工作就可以的。我相信每个厂家都是做过一些安全工作的，可是没有长期坚持，所以有问题发生的时候，会给黑客一个机会。

第二，比方说这次信息泄露里面暴露出来的一些密码，并没有加密，说明前端的开发人员对安全的了解还是欠缺。从这个角度来说，这些公司需要对全部开发人员进行安全培训。

第三，这里头能看出一个问题，就是说我们事实上安全的责任在哪？如果把安全的责任推到前端负责业务逻辑开发的工程师身上，实际上他们不是安全专家，但是我们要求他们做出安全专家的事情来，这是现有的整个开发流程、管理流程上错误的地方，也是导致这种事件的根本原因。我们所有人都在要求前端的工程师必须做好安全，那他们明明不是安全专家你怎么能让他做安全呢？总是有疏漏的。所以这就像我们要求自己家里老婆管钱，但是需要老婆给我做个财务分析，她管管钱还行，但她不是专业做财务的人。我觉得这是现在行业的一个问题，一个现状，同时也是很多安全问题的本质原因。

InfoQ：您刚才提到 Web 前端的开发，您觉得对于前端开发来说最重要的安全考量是哪些呢？是否可以举三个最重要的因素？

马杰：这个问题我比较不想回答。为什么？是因为我说三个点，就会漏掉可能 13 个点。为什么？因为安全它是一条很长的防线，任何一个点的缺失就会导致整条防线其实白建了，所以我认为这本身也是对安全的不够了解所造成的。安全不是通过我们加强就可以达到效果的，安全需要做到整条战线的严丝合缝，所以它是一个系统工程。它首先需要参与的人要有安全意识，同时还需要大家也能把各个功能、模块、流程互相之间的缝要接好。

InfoQ：所以您的建议就是：不从 Web 前端，或者是后端服务器这个角度考虑，而是要有专门的专家队伍来去从整体上去思考这件事？

马杰：对，只去解决一、两个点，最后会给自己造成一种安全的幻觉。安全问题需要整体解决。

InfoQ：InfoQ 的读者也是互联网用户，您对他们有哪些安全方面的建议呢？

马杰：几个建议。首先，在各个网站上不要大量使用相同的密码。像这次我们密码泄露的话，可能在别的网站的密码就会被别人猜到。

第二，去访问一些网站的时候，即使是一些比较知名的网站，也不能完全信任，比方说他说要安装一个什么东西的时候。因为每天在中国都会有很多网站被黑客，比如说被黑客挂马，一些网站本身虽然信誉很好，但是他有可能就被别人在里面挂进去病毒，所以你不能信任网站上过来的每一个要求你安装或执行的东西。

第三，在客户端本身，自己在 Windows 上面还是要安装比较合理的一些安全软件。我觉得做到这几点可能就会好很多。

InfoQ：从整体上去考量安全这件事，我觉得这算是这次事件给大家的一个经验教训。除了这点之外，您还有其他建议吗？

马杰：从整体考虑很重要。另外，我们不要把安全责任推到那些本来不应该负责安全的人身上，而是应该让专业的人去做专业的事情。

InfoQ 安全系列—专访韩轶平：整个行业都要提高安全意识

InfoQ 安全系列—专访土豆网技术副总黄冬：后端服务器的隔离非常重要

InfoQ 安全系列—专访友录创始人姜洋，谈移动客户端安全

InfoQ 安全系列—安全问题成为社区热点