• 牛人谈安全


    当时,我隐隐地感觉到了互联网公司安全,与传统的网络安全、信息安全技术的区别。就
    如同开发者会遇到的挑战一样,有很多问题,不放到一个海量用户的环境下,是难以暴露出来
    的。由于量变引起质变,所以管理10台服务器,和管理1万台服务器的方法肯定会有所区别;
    同样的,评估10名工程师的代码安全,和评估1000名工程师的代码安全,方法肯定也要有所
    不同。
    互联网公司安全还有一些鲜明的特色,比如注重用户体验、注重性能、注重产品发布时间,
    因此传统的安全方案在这样的环境下可能完全行不通。这对安全工作提出了更高的要求和更大
    的挑战。
    这些问题,使我感觉到,互联网公司安全可能会成为一门新的学科,或者说应该把安全技
    术变得更加工业化。可是我在书店中,却发现安全类目的书,要么是极为学术化的(一般人看
    不懂)教科书,要么就是极为娱乐化的(比如一些“黑客工具说明书”类型的书)说明书。极
    少数能够深入剖析安全技术原理的书,以我的经验看来,在工业化的环境中也会存在各种各样
    的问题。
    这些问题,也就促使我萌发了一种写一本自己的书,分享多年来工作心得的想法。它将是
    一本阐述安全技术在企业级应用中实践的书,是一本大型互联网公司的工程师能够真正用得上
    的安全参考书。因此张春雨先生一提到邀请我写书的想法时,我没有做过多的思考,就答应了

    Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联
    网公司安全业务中最重要的组成部分。我近年来的研究重心也在于此,因此将选题范围定在了
    Web安全。但其实本书的很多思路并不局限于Web安全,而是可以放宽到整个互联网安全的
    方方面面之中。
    掌握了以正确的思路去看待安全问题,在解决它们时,都将无往而不利。我在2007年的
    时候,意识到了掌握这种正确思维方式的重要性,因此我告知好友:安全工程师的核心竞争力
    不在于他能拥有多少个0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由
    此引申的看待安全问题的角度和高度。我是如此想的,也是如此做的。
    因此在本书中,我认为最可贵的不是那一个个工业化的解决方案,而是在解决这些问题时,
    背后的思考过程。我们不是要做一个能够解决问题的方案,而是要做一个能够“漂亮地”解决
    问题的方案。这是每一名优秀的安全工程师所应有的追求。

    ----------------------《白帽子讲Web安全》

  • 相关阅读:
    Git 命令使用小笔记
    一个关于if else容易迷惑的问题
    浏览器与Node环境下的Event Loop
    镜面反射
    Socket通信原理
    Git
    vba工具
    为什么要用prototype
    Oracle 列转换为行, 逗号拼接.
    JS中的phototype
  • 原文地址:https://www.cnblogs.com/longze/p/3194306.html
Copyright © 2020-2023  润新知