c68e9a81 No.45
Facebook 和Google等大公司將為任何發現其漏洞的人支付賞金。 這些公司根據漏洞的嚴重程度向賞金獵人支付報酬。 漏洞利用是一種bug,它會暴露網路安全。 如果公司認為發現的漏洞是用戶的責任,可能不會支付bug獵人賞金。
最終的解決方案是從原始程式碼中刪除該漏洞,但這對人類來說工作量太大,或者某些開發人員使用懶惰的方式而導致問題。
也許這就是例子。
https://portal.cert.tanet.edu.tw/docs/pdf/2016111610111919768836843562454.pdf 74d639f5 No.48
資安部門沒錯+1,
而且效率還不差,應該算比較有規模的公司吧。
雖然這種公司很多時候是抓這種違規比抓真正的惡意軟體有效率。
不過認真來說,現在很多人,包含工程師。
可能因為習慣網路的關係,所以其實對網路上下載的東西信任度都異常的高。
也很習慣需要甚麼,打一個指令去安裝,然後寫成腳本全部裝的模式。
但是都沒有意識到,這些指令其實是會連到遠端伺服器抓東西的。
也很少有意識到市集、套件管理器甚麼的,都還是要接網路。
實際上這些東西是都可以自架伺服器,也應該自架伺服器的。
只是對於現在的〝工程師〞們而言,
要他們去處理這些東西好像太困難了,很多根本只會市集點兩下而已。
到沒網路或是網路隔離的環境就靠北靠母。
之前還有看到在靠北公司正式環境沒連網,
要裝軟體只能丟進USB掃完毒才能進去的公司的。
2ccabdaf No.84
>>48>實際上這些東西是都可以自架伺服器,也應該自架伺服器的。你以為架伺服器不用錢不用維護的啊= =
而且到頭來還是那個問題 你要怎麼確認伺服器上的東西是可以信任的?負責人不會為了方便所以抓了檔案下來也沒驗證嗎?
資安部門可不負責這塊 他們只會在被入侵時把你推到金管會前面當砲灰