“这是谁起的名字,安全平行切面,这么帅气啊!看着像是18年的动态防御方案。”
“其实就是在某些关键点执行回调函数,或者叫钩子函数。新颖点在于,这个可以是当年小型机提出的rpc,远程调用,玩分布式了。”
“对整体编程水平要求更高了,这种调用有可能会使阻塞的时间更长,特别是异常发生时,多线程环境下可能会有其他线程阻塞等待,所以要重点关注异常处理。”
“如果只是观测,应该不会发生这种问题;如果要拦截则需要重视。所以选择切点很重要,不能影响业务逻辑的运行。”
“观测可以做到异步,确实不会发生。”
“所以安全是搭建了一个平台,提供sdk给业务?”
“切点能不能跟现有的平台做高度衔接,这样执行效率会高也减少失效后的业务坍塌。”
“是有不同切点的,这个解释得很清楚。”
“如果开发能主动配合,效率和便利性会提高。比如安全平台在特定数据库的api上包一层自己的库,库去调用数据库api,大家调用数据库时不直接用api而是用库,这样做就不需要必须用jdbc了。”
“自己做渗透和SOC2报告。”
“会不会有些供应商都没有SOC2报告?”
“很多都没有,甚至渗透测试报告都是瞎扯淡。只能说看谁能量大了,供应商能量大就很难谈。”
“是不是有一些点我们可以提出来,然后去要求举证。很多时候我们都不知道供应商的后台逻辑,只能看到一个出口或入口,对数据处理过程完全不清楚。那怎么来确认供应商在数据安全方面尽职尽责?等泄漏了、出事了才追责影响面就大了。”
“是的,不能所有系统都和ChatGPT一样说不清吧。”
“可否让供应商给一个他们的措施和效果清单,然后承诺可以随时接受甲方的审计。后者只能说很难。”
“只能通过认证(csa star、SOC2、可信云、iso系列)以及采购合同安全条款约束。这里面就SOC2稍微详细一些,SOC2一般要签署了nda协议才能获取。”
“事多(的用户),大的SaaS厂家都不搭理的。”
“如果需要checklist,可以在csa官网下载caiq和ccm。”
原文始发于微信公众号(安在):诸子云|甲方 :如何看待平行切面技术?如何确保供应商切实保障数据安全?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论