系统被入侵或收到漏洞报告才去事后补救的方式已然过时

作者:Jane   时间:2015-11-11 15:00:21



道高一尺,魔高一丈,黑客攻击技术与手法层出不穷,以往的不重视产品安全而寄希望于后期补救的安全应急响应方式总是疲于应对,处于被动挨打的局面。
过去这种在产品设计开发过程中不重视安全,直到收到漏洞报告才去补救的方式,已经难以适应新的攻击形式,比如:同样的漏洞重复出现、低级配置错误、人为设置弱口令等场景屡见不鲜。
只有从设计、开发、部署、运维这些阶段启用安全流程,并借助安全工具和漏洞检测技术提前发现风险,将风险消除在萌芽状态,从源头提高产品的安全性才能最大程度上降低产品所面临的安全风险。

通过安全体系的建立与完善,在设计与开发阶段不制造、不产生、不引入常见的高危漏洞,同时通过安全的部署让漏洞的发现或利用过程变得复杂,攻击成本大幅提高,从而整体提高产品全生命周期过程中的安全性。
首先,就是要引入安全开发流程,或在现有的项目管理平台中纳入安全要素。
Janusec提供的在线SDL服务(SDL SaaS服务), 旨在让安全从源头开始, 贯穿产品生命周期始终。

事前防御胜于补救~