安全产品怎么就不安全了？

安全产品漏洞频发，由此引发的一系列安全事件也让人唏嘘，这些事件本身不禁让人们想反问一句，安全产品怎么就不安全了？本期话题就“安全产品的安全问题”展开讨论，如果你也对这一话题感兴趣，有不一样的思考，可在文末评论区留言互动~

安全产品常见的安全问题有哪些

@dawenjun

安全产品就像是一个简化版的服务器，终端的常见的问题，例如系统漏洞等软件问题，风扇故障等硬件问题，弱口令等基线问题都会时有发生

@ toddddna

以前有360提权，chkrootkit提权，ossec提权

@网空闲话

安全设计、安全开发、安全测试、安全响应，整个流程都有问题

能用、好用、管用、爱用。现在多数停留在能用，勉强能用阶段

安全产品自身的安全问题涉及哪些因素

@dawenjun

环境因素，（不限于天花板漏水的机房、落了N层灰的楼顶），这些可能导致安全产品的硬件问题

系统因素，很多安全产品系统虽说是定制化的，但还是linux的底层，部分也包含Web界面，很难保证没有漏洞

人员因素：研发人员没有足够安代码安全设计意识时，会产生很多漏洞问题

@ toddddna

安全相关的产品，是人类用代码编写的，同样也会有漏洞，而且危害更大，因为，很多安全产品运行的权限都很高

@snail2333

安全产品，研发开发，开发以后没有经过安全人员测试，进而导致rce之类的相关漏洞

甲方购买产品以后，没有更改产品的弱口令等，导致弱口令入侵，对于弱口令，安全厂商应该在产品出售以后，要求客户第一次登录后，强制更改口令措施

安全产品厂商，急于赚钱，在管理模式上，安全人员和研发人员，只是在检测方式上进行沟通交流，安全人员没有在产品整个生命周期进行跟随，导致安全漏洞层出不穷

安全公司，研发流动大，新招进来的人员没有经过开发规范培训等，导致我行我素的事情出现，也是安全问题出现的问题之一

有些项目竟然是实习生参与，刚毕业或者没毕业的实习生，没有任何经验，安全意识，心理问题等还不成熟，甚至把源码公开发布，有些竟然传到github

有些公司也是迫于甲方要求压力，领导压力，一个项目急于应付，以完成任务为目标，故安全问题，必然暴露

@网空闲话

开发环节问题很多，一群没有安全开发经验的程序员，写出一堆问题代码，代码缺陷发生率是千分之六

根源，投入不够。火眼、卡巴，早期问题漏洞频发，这些年很少听说了

@si1ence

主要原因是大家对安全厂商的要求和对普通软件厂商的期望是不一样的，大家从内心普遍认为安全厂商的对安全的理解会更加深刻会更加注重代码的规范，规避更多的安全风险，这是普遍的用户期望；但是实际上很多安全厂商的研发过程，并没有很多专业的安全人员参与；很多资深的研发、架构师本质上对安全的理解深度还不是很够，加上目前很多厂商为了赶进度，导致开发周期缩短安全测试之类的操作，无论是时间上还是人力上都需要更加的投入

另外一个方面，即使是安全公司其实安全人员的地位也很一般，多数还是以安服居多在研发过程看来只是一个不写代码的交付人员而已，最多算是一个测试人员产出远远没有一个开发来的多，而且招聘难度大，懂攻防与代码的安全人员往往薪资要求更高

一个企业要做SDL需要投入大量的成本，如果没有很坚定的决心和大领导的支持，很难做起来；安全工作毕竟是在给业务部门找麻烦，业务开发部门又是企业盈利的主要来源，二者和谐共处难度较大

@jary

安全公司的开发也只是普通的程序员，如果安全公司内部并不注重SDLC，不进行内部测试、安全攻防、安全宣导，那跟其他的软件开发是一样的，还记得某服2018的时候，企业内部安全都还没搭建呢？你说怎么保证产品安全？

@水木逸轩

我自己毕设写Src的时候也出现过这种问题，开发不规范，只是赶着功能实现，但是公司不得SDL吗?

@Torjan

另外就是测评机构测评内体系没有太多考虑安全产品的漏洞问题，大多数是功能性问题，不难发现大多数的安全产品都有资质

安全产品之间又存在重复造轮子，问题怎么不会层出不穷

对乙方来说，安全产品就是业务, 业务居然都不关注安全问题

@宽字节安全实验室

不遵守安全开发规范，不注重研发成本的投入

圈钱圈惯了，为啥要费力不讨好地弄SDL

公关代替安全，既能剩下SDL的经费与精力，还能快速敏捷地开发

@CyAnogeN

其实部分大公司不可否认存在上层很强无论是管理，眼界，技术都很强。底层部门可能就会有种开始摸鱼的心态

@潇然

安全产品的开发过程中，由于成本投入，人员安全能力和意识等原因导致安全产品本身就会存在安全漏洞，真正在安全产品研发过程中实行SDL的应该不多吧，所以会导致安全产品不安全。像提高业务系统安全一样，将安全产品的各个过程也都严格把控，肯定会提高安全产品的安全水平的

如何加强安全产品的“安全性”

@dawenjun

从技术和服务两个角度考虑，技术角度的话，打铁还需自身硬，在新型号、版本出来前，做好黑盒、灰盒或者白盒测试，先把部分问题在内部规避。服务角度的话，对于发现的安全问题做好应急响应措施，例如发现漏洞，先为用户提供规避措施，然后尽快提供升级补丁，将影响降至最低

@qingxp9

贴一段谷歌的安全开发实践

@pilgrim

做好访问策略，身份，权限认证，能杜绝很多安全问题

@snail2333

综合一句话，既然做安全的，肯定有安全技术人员，安全技术人员一定要跟随产品生产的整个生命周期。是杜绝问题的有效手段之一

@Torjan

得把安全拆2部分来看，一部分安全产品开发，一部分是安全服务，安全服务这块质量不做过多的描述，但是安全产品开发其实跟传统的产品开发是一个层面，只是使用场景不同，那么都是产品是不是应该按照成熟的应用安全开发流程来生产

其他

@宽字节安全实验室

安全公司的安全产品开发竟然不懂安全开发规范，这本身就很朋克

@jary

安全技术人员是要去创造效益的，而不是专门来做内部安全的

现在的安全厂商招的安全人员都是去填坑的，这个坑跳到那个坑

@si1ence

安全技术人员创造收益？直观的价值体现，不就是做安服，在领导眼里就是卖人头。远远不如做产品卖盒子，一次开发可以各种复制利用。成本才能降下来

踩过坑的资深技术人员，因为年龄大待遇搞被嫌弃；新毕业的萌新，依靠更高的性价比获得了工作机会继续踩坑

@snail2333

创造效益，应该先满足自己产品的普适性，产品的安全可靠性，才能稳步前行

本期话题你还有什么想说的嘛？欢迎留言评论参与互动~

此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码加入群聊吧~~

精彩推荐