- 博客(5)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 关于SDL落地的一点思考
将SDL流程从0-1落地是非常艰难的一件事,重点还是在于除安全人员之外,公司其它人员不够重视SDL,甚至不知道SDL。所以在开始SDL建设的时候,第一步应该编写好SDL标准,标准不涉及具体的技术细节,只是要让公司业务侧人员知道软件开发的各个阶段都应该进行安全活动,而并非总是完成开发后找到安全工程师进行安全测试。如果CTO无法支持,那么开展SDL会非常的困难,毕竟安全团队和业务团队没有利益绑定,相反业务团队参与SDL可能会影响到自身的利益,最常见的就是业务侧参与安全活动导致业务无法在预定的时间上线。
2023-06-25 12:16:29
352
原创 高并发下的漏洞(条件竞争)
隔离性有4种,包括读未提交(Read uncommitted)、读提交(read committed)、可重复读(repeatable read)和串行化(Serializable)。2、数据库查询该码,如果查到库里有这个码并且码未被消费过,则走到第3步的逻辑里,否则返回code not useful。4、更新用户的余额,比如兑换的充值码为20元,用户money字段增加20。余额只有80,和预期的不太一样,但有一点是肯定的,一个码被兑换了多次。3、更新码的状态,更新消费该码的用户,
2023-06-12 11:37:36
603
原创 企业安全建设-信息系统定级指南
此定级指南参考GB/T 22240-2020在企业信息安全建设中,信息系统的定级应该在系统开发前、甚至在立项的时候就应该初步确定。信息系统的定级不应该是安全工程师来实施,安全人员要做的事是根据国家标准,梳理出一份适合自身企业的定级指南,并对公司全体项目经理、产品经理进行宣贯。至于这个事情为什么非要项目进经理和产品经理去做,从根本上来说,项目经理和产品经理是最了解项目需求的,信息系统的目标定位、用户群体都是定级的指标。如果每个项目都要安全工程来定级,那一个公司那么多项目,安全工程师还不累死?
2023-06-11 23:20:34
591
1
原创 安全建设之应用安全
以上我大概罗列出了在安全建设中所涉及到的几个方面。应用安全漏洞管理应用安全方面,核心是发现应用系统的安全漏洞。但很多公司,特别是一些刚刚开始投入安全能力的公司往往存在一个问题就是:安全工程师发现了安全漏洞,但业务方并不会及时去修复,甚至会直接无视该漏洞。所以这个时候《漏洞管理流程》是非常必要的,研发部需要按照漏洞管理流程来严格执行。于是安全部屁颠屁颠的出了一个《漏洞管理流程》。但是又遇到一个问题,业务线的有些同学确实按照流程执行了,但仍然有一部同学没有。所以,这个时候管理层就非常重要了,...
2021-09-29 10:54:29
1638
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人