安全思想:漏洞防护

安全思想:漏洞防护

业务场景

安全思想是指在设计、开发和维护计算机系统和网络时,将安全性作为首要考虑的原则和理念。它强调在整个系统生命周期中,从设计阶段到实施和运行阶段,都要考虑安全性,并采取相应的措施来保护系统免受恶意攻击和数据泄露的威胁。

案例

⓵ Go 安全编码实践指南

采用安全编码实践,可以提高应用程序的安全性,减少潜在的安全风险,并为用户提供更可靠和安全的体验。

本节内容摘自 OWASP《Go-安全编码实践指南》

其他:

⓶ 业界安全事件分析与借鉴

时间 事件(点击链接可查看详情) 原因分析 我们的参考应对
2023/4/3 三星引入 ChatGPT 后疑似泄露公司资料 三星接入 ChatGPT 后有员工在使用过程中上传了源码和会议记录业界普遍怀疑 ChatGPT 可能收集对话数据用于训练迭代,可能会在其他对话中漏出 不泄露公司敏感信息,以免触碰高压线
1、不把工作代码贴进 ChatGPT 对话中
2、对话过程中不输入公司敏感信息与资料,如密码密钥、业务数据、财务数据、用户个人数据、未公开算法等
2023/1/4 黑客出售 2 亿 Twitter 用户个人资料 推测为根据 2022 年漏洞泄露的数据做整理
2022 年漏洞原因:twitter接口会根据传入的邮箱或手机号返回对应的 twitterID
1、API 设计应避免泄露用户个人数据,特别是对不需要做身份校验的接口
2023/2/12 45 亿条快递数据遭泄露 可能为快递/电商平台等多个泄露源拼接而成,过往主要泄露原因包括:
1、API 接口漏洞导致泄露
2、内鬼泄露
3、云仓平台被植入木马后泄露
1、API 接口不返回多余信息;敏感 API 接口做严谨鉴权
2、内部人员权限按需最小化授予,管理平台限制导出条数
2023/3/20 ChatGPT 部分用户可查看他人聊天记录 所使用的redis python 客户端连接池存在 bug,对部分特殊场景的请求会错误分配到他人的处理连接,相应的返回他人的数据 1、保持使用最新版或安全版本的第三方软件,对提示有漏洞的版本及时升级修复
2、优先从内部软件源下载第三方组件,其次从软件官网
2023/1/15 俄罗斯科技巨头 Yandex 内部源代码泄露 员工离职前恶意下载和泄露源代码

(twitter 3 月份也有员工泄露源码事件)
1、源码中不写入密钥密码等敏感数据,改为存放至七彩石或 KMS,收到类似风险提醒时切实修改,不随意忽略
2、公司对源码恶意下载和泄露有监控和审计溯源能力,建议团队内做好宣导,以免违规违法
2023/3/3 拼多多 app 利用漏洞恶意竞争被 google paly 下架 拼多多 app 中综合利用 android 低版本漏洞和手机厂商 OEM 代码漏洞,达到:
1、隐蔽安装,无法卸载
2、攻击竞争对手 App
3、窃取用户隐私数据
4、逃避隐私合规监管
1、业务程序中不利用漏洞实现业务目的,不违规收集用户隐私数据

更多安全指引,请参考 《漏洞防护》

小结

谚云:防患于未然

安全思想和漏洞防护是保护计算机系统和网络安全的重要方面。通过将安全性纳入系统设计和开发的早期阶段,并采取相应的漏洞防护措施,我们可以降低系统遭受攻击的风险,保护用户的数据和隐私,确保系统的正常运行。

0%