首届“逐鹿”安全沙龙纪实:共话研发安全中的那些事儿

2017年12月26日

2017年12月22日下午,由美丽联合集团与默安科技主办的首届“逐鹿”安全沙龙在杭州举办,沙龙吸引了来自浙江能源、杭州市民卡、海康威视、浙商银行、大华技术、百世快递、天天快递、贝贝网、杭州19楼等企业的安全负责人参加,共同就研发过程中的安全意识、安全组件、漏洞治理、安全管理等问题,以企业自身的实践为出发点,探讨有效的解决思路和落地方案。

默安科技COO老马哥哥作为本次沙龙的主持人,首先介绍了沙龙举办的初衷,杭州区域的互联网和制造类企业很多,但企业安全人员之间的交流很少,虽然在公司层面大家可能有一些竞争,但从面临网络威胁和对抗黑产的角度,大家应该是团结一致的群体,“逐鹿”安全沙龙就是为了给这个群体提供一个开放、有效的交流平台。

默安科技CTO云舒,拥有10年的安全经验,提出安全产品不应该以合规为目标,而是以效果为目标。对于甲方来说,不喜欢看到误报,因为大量的误报对他们造成了很大的困扰,这其实是安全厂商将责任转嫁给了甲方,但并没有真正解决问题。

关于漏报和误报的观点,云舒认为,需要找到一个平衡,他的观点是宁愿漏报不误报,因为误报的危害不能消除,但安全是立体防御、多层防御,漏报的影响是可以通过多层叠加的方式消除的。在未来,漏报和误报是否会找到新的平衡,更多地是取决于甲方的实际需求。

来自美丽联合集团的安全项目总监止介,从自己做开发到安全的经历,讲述了企业中整个狭义上的安全研发是怎么完成的,从最初确立安全思路,到提高安全意识,然后利用安全开发组件对开发的支持,以及将安全评估渗透到整个开发的流程,最后以技术的方式去卡口,限制业务带病上线。

他认为,人是所有漏洞的源头,而研发团队中,对安全只有少许了解的人数比例一般在70%,新人入职安全培训、开发安全专项培训等完善的培训体系对于提高开发团队的安全意识尤为重要。

默安科技的安全研究员程进,就安全研发这个话题,分享了默安科技的SDL体系化建设思路。他认为,安全工作需要分发到所有流程,安全问题越早发现,修复的成本越低。默安的产品就是首先通过培训和咨询让开发团队接受安全的理念,然后将安全分发到需求设计、研发、测试、发布的全流程中,最后通过持续的漏洞和风险管理平台确保业务的安全质量。

现场提问环节中,美丽联合集团的安全负责人就安全团队的建设、安全管理等问题进行了分享,他认为,安全架构对公司安全发展的速度十分关键,目前安全团队比较成熟的企业一般会做横向区分和纵向区分,有些甚至能做到每个研发团队有安全负责人;关于安全管理的问题,他表示,高效的安全应该是自上而下,帮助管理层提高安全意识,从而去推动优化企业安全的整个流程。