当前位置 > 首页 > 热点专题 > 正文

新冠疫情给 CTO 们带来的几点启示……
  • 发布时间:2020-03-05
  • www.mcm-outlet.com
  • 原标题:新皇冠流行病给首席技术官带来的几个启示.

    author | Liang yuning,Gavin Bu

    editor | Tang

    head chart | CSDN下载自oriental IC

    product | csdn(id:csdn news)

    作为首席技术官,尤其是在中国,当看到本文时,您是否担心无法及时返回工作岗位和士兵短缺?或者你正在努力管理在家工作的团队,以确保业务系统及时上线?

    事实上,武汉新冠状病毒(COVID-19)肺炎的爆发极大地阻碍了社会和经济的发展,远远超出了我们的预期。这一突发公共卫生事件就像是由软件漏洞引起的软件安全事件。我们应该从中学到什么经验和教训?

    是内部的还是外部的?

    软件开发人员,尤其是产品经理、质量保证和首席技术官,每天都在密切关注产品的在线情况。为了增加每天的在线活动,他们努力工作,绞尽脑汁。为了满足业务需求和交付期限,他们经常忽略系统中仍然存在的隐患。阻断器Bug静静地躺在那里,没有人在意。

    为了赶上测试计划,质量检查小组通常导致缺乏对程序的全面分析。有些尴尬的问答只能看着倒计时牌,别无选择。软件的成功发布受到了欢迎,直到软件漏洞被黑客恶意利用。

    通过安全编码方法或使用正确的源代码分析工具,可以尽早发现漏洞。扁鹊有句名言:如果你有疾病,你会害怕它。换句话说,最好的医生是防止病人生病,而不是在病人病情恶化时试图挽救他们。疾病就是这种情况,更不用说软件合规性和安全性了,这就是为什么“左移”测试在软件开发生命周期中被广泛使用。一个重要的教训是“不要把安全放在最后”

    软件安全事件的原因是什么?

    毛主席在《矛盾论》书中提到“事物发展的根本原因不在于事物的外部,而在于事物的内部,在于事物内部的矛盾。外因是变革的条件,内因是变革的基础,外因通过内因发挥作用。”

    商业组织首先(有时也是唯一)采取的行动是保护自己免受外部攻击。许多企业一直关注杀毒软件、防火墙、加固等的可能性。防止外部入侵,但他们往往忽视企业研发人员的整体素质培养和代码质量的管理。企业的防火墙可能被攻破,但是如果代码是安全的,攻击者可能没有机会利用其入侵。

    不安全的应用程序会导致数据泄露、服务丢失、拒绝服务和系统损坏,所有这些都会让企业损失数百万美元。这里的教训是确保设计安全作为标准的工作方法。

    Company是否有高准确度的“核酸检测试剂”?

    新闻报道称新诊断肺炎的核酸检测准确率不是100%,这说明检测结果可能混有假阳性和假阴性患者。假阳性是对特定条件的错误检测的结果。假阴性表示病毒尚未被检测到,但患者实际上已被感染。对于假阳性患者,医生必须花费更多的时间和使用不同的医学检测方法来逐一排除每个假阳性患者。这无疑是浪费资源和时间。

    另一方面,一旦病人没有受到限制,“假阴性”将导致病毒继续传播的严重后果。

    相比之下,在软件应用安全测试(SAST)过程中,发送方需要能够提供具有较少误报和漏报的高度准确的缺陷识别工具。静态代码分析用于通过安全编码标准(例如,CERT)在早期识别SDLC中的缺陷,该标准使用世界各地的方法来帮助避免编写不安全的代码。

    所有首席技术官和开发人员都应该问自己一个问题:我们是否有最合适的“核酸检测试剂”来定位系统中的漏洞?这里的教训是,您需要一个好的静态代码分析工具来完成这项工作。

    如何避免遇到公司级“COVID-19”?

    1。摒弃侥幸心理,坚持测试

    提高开发人员的安全编码态度和技能,以便他们在编写代码时能够检查漏洞。尽管有早期投资,但这是公司运营整体质量和公司应对风险能力的提高。设计安全应该成为研究者的第二天性。

    3。严格控制质量,使用静态代码分析工具。

    这些工具可以尽早发现软件中的缺陷和潜在风险,精确度很高。

    作者简介:梁玉宁,现任上海建设科技公司CEO,专注于计算机科学的核心基础技术,帮助工程师提高编程知识,优化全球软件的质量和安全性。

    布加文,现任上海建始科技有限公司业务总经理,主要负责客户的整体解决方案,建立以客户为中心的服务体系。目标是为客户更高的质量和更好的业务运营进行创新。在解释中,我们使用编译器深度分析技术来检测代码合规性和漏洞。我们的解决方案可以无缝集成到软件开发过程中,帮助开发人员更早、更准确地发现缺陷。返回搜狐查看更多“负责任的编辑:

    两江信息网 版权所有© www.mcm-outlet.com 技术支持:两江信息网 | 网站地图