今天学习有关测试的内容,先看提示:
提示72 保持代码简洁,让攻击面最小。
提示73 尽早打上安全补丁。
作者从剩下的百分之九十开始讲起。感觉这一点经常被我们忽略,值得好好讲一讲。我感觉现在我们估计task的effort都是只看开发的时间,基本没有考虑过测试的时间。我自己也经常这样,遇到那些比较简单,容易验证的story还好,如果遇到那种数据或者flow比较复杂的task,经常会发现我们需要花费比开发更多的时间放在测试上,还容易遗漏一些致命的流程没有完全验证到。更有甚者,本地比较难弄或者时间紧急,干脆摆烂,直接上QA测试,这也是我们QA环境经常有问题的一个重要原因,我自己也是其中之一,需要好好反思,design的时候就应该要把测试的情况都考虑进去。
接着作者讲了自己认为安全性的基本原则:
- 将攻击面的面积最小化
- 最小特权原则
- 安全的默认值
- 敏感数据要加密
- 维护安全更新
接下来就围绕这五点进行了详细的讲解。对于第一点,我想到了之前安全培训的时候有讲到一种脚本的攻击方式类似,而防御的手段也好像是禁止它定义变量。更普遍的脚本注入攻击也是同样的原理。讲到最小特权原则,想到我们在服务器上还是习惯使用admin帐号,没有能够使用堡垒机限制权限。如今admin帐号虽然操作简单方便,但是威力也大得吓人,一不小心就可以直接把server,乃至整个服务器关闭,可能以后还要慢慢改进。安全的默认值我们平时也经常使用,比如qa环境各个帐号密码,毕竟还是方便。但是如果需要考虑安全问题,就需要取舍了,我们现在产品环境密码就都采用了强密码策略。敏感数据加密这个问题,正好最近我们team都在弄,虽然之前也做过一部分,但是涉及安全还是需要格外小心。说到维护安全更新,那我就想到不久前的log4j漏洞问题了。我们当时也是紧急修复了几次,安全更新还是要及时跟进,特别是那种人尽皆知的问题。
网友评论