北京
分享至
你有没有在跑步机上跑过步?吭哧吭哧半天,汗出了,人累了,位置一点没变。第二天还得再来一遍。
传统应用安全现在就是这感觉。代码写完了,安全团队或客户发现问题;扫描工具再扫出一堆漏洞,报告长得看不到头。开发被迫放下新功能,回头啃自己写过的代码,找bug、打补丁、发修复。
然后循环重启——新代码、新依赖、新漏洞,一个都不会少。这被叫做"发现-修复"循环,本质上是代码发布后的被动救火。安全团队用漏洞扫描和渗透测试,开发按报告排队修复,有时还得专门抽时间搞"修复冲刺"。
问题是有些漏洞埋得太深,在层层堆叠的老代码底下。想根治得把架构拆散,但那样会捅出更多篓子。于是"防御-推迟"登场:不修了,围起来。防火墙、运行时保护、监控、访问限制……先挡着,病根留着。
这两种做法不会彻底消失,意外总会发生。但连续部署的频率让旧模式越来越吃力。漏洞积压拖垮开发节奏,修复窗口赶不上发布速度。安全如果只能跟在代码后面跑,永远追不上。
一个思路是把防线前移:不是等代码写完再找洞,而是在写的时候就拦住。这要求安全能力嵌入开发流程,而非作为独立环节后置。工具、流程、人的习惯,都得跟着变。
跑步机还在转,但也许可以换个跑法。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
