我们应该怎样判断风险的等级
(by axis, 转载请注明出处)
漏洞是安全的主要话题,但不是全部。在很多时候会出现一种困扰,就是某个漏洞到底是否重要,往往是公说公有理,婆说婆有理。
程序员一般会和安全人员在这个问题上扯皮,比如一个XSS,程序员很可能就认为这个问题不重要,或者优先级不是特别高,而安全人员往往会绞尽脑汁的去提高漏洞的重要程度,可能会伴随有一系列的POC演示去吓唬程序员。但是在很多时候,往往漏洞是没有POC的,这时候该怎么办?
更多的时候,安全人员需要去说服或者教育老板什么是安全的,以帮助其做决策。而老板都是很精明的主,如果拿不出很充分的数据或者证据来说明漏洞或者威胁为什么重要,他往往会降低安全方案的优先级别(商业公司环境下)。
阅读全文 »