資料外洩這事,讓我想到了前公司的一些事。我見過員工同樣因為密碼洩露,導致被駭客利用,公司資料資產和程式碼被惡意利用。這事在2017 年是個大新聞,你可以搜搜。這這種情況被開除是小事,有的人甚至因此銼鐺入獄。 1/n
後來我被調到安全群組去補窟窿了。為了解決類似的問題,我們用Python 開發了一個程序,人肉配置一些公司相關的關鍵詞,每天都去Github 之類的地方通過API 檢索,如果發現有公司相關的信息立馬郵件報警,再人工複核。你別說,就這麼簡單的策略,幾乎每兩個月都能發現外洩問題。 2/n
這不需要什麼高科技,一個中等規模以上的公司,都應該做這麼一套系統來保護自己。 CSDN 作為平台應該有一個偵測機制提醒作者,Github 已經在做一些努力了。 3/n
我覺得很多開發人員的安全意識極差,不明白什麼是應該保密的,不明白私鑰和公鑰,甚至Git 都玩得不溜,發現密碼之後再提交一個commit 去刪除密碼,WTF .... 4/n
關於這個主題以前寫過一篇文章:[談談工作中的犯錯](catcoding.me/p/avoid-mistak…),不夠全面,安全這個主題太大了,有些案例可供參考。保持對工作的敬畏之心,特別是你的程式碼和工作會影響到很多用戶時,即使一個小小的錯誤也會造成大量損失。
安全訓練也是必須的,入職需要做,以後定期也需要做。那些很簡單的安全原則,也需要不斷灌輸員工。對公司來說,需要預防的是木桶最短的那塊木板,公司人數到了一定程度你沒辦法知道員工的下限在哪裡。 5/n
繼續想到哪寫寫,注意我沒提公司名字。這個安全的事是個大窟窿,公司的產品大部分市場在美國,得益於深圳完備的供應鏈和先前的技術積累,而美國人做同類產品沒這麼好。所以資料外洩這事被拿來不斷地被質疑,而剛好碰上中美貿易戰,中國也在要求資料不能放在美國的伺服器上。 6/n
那兩三年,我們身為硬體公司的網路部門,大部分時間都投入在了梳理、整改、補窟窿上。亞馬遜的用量逐漸減少,盡量往阿里雲移,國外的伺服器也是盡量用阿里的。甚至做了最壞的打算,美國的伺服器如果全被停掉,我們已經在歐洲阿里雲節點部署了一套。 7/n
我們公司一直都處於號稱要被美國加名單,但又長時間沒正式加上去,直到後來真的列在了黑名單上。所以,那段時間公司一直惶惶終日,整改和自我審查一輪接一輪。 8/n
在雖然很累,但結合當時的貿易戰背景,工作起來還有些動力,因為我想到我似乎在經歷一個很少能見到的歷史節點。確實如此,今後多年如果我再回憶起貿易戰,也定能回憶起當時拖著疲憊的身軀、回到家就躺下的感受。 9/n
再談到安全建設。應為公司主業是硬件,所以網路安全防護、安全工具這些東西自然都需要採購,我在這個過程中也投入了些時間。負責評估產品、和乙方配合落地到公司。整個過程我體會到了作為一個強勢甲方,對這些安全產商來說有多摳門。當然從公司角度來說,這種摳門是需要的,我們也要節省成本。 10/n
我比較反感的是利用自己公司知名度,很多廠商都希望能拿下自己這點優勢,大大壓制乙方產商。產品試用期延期又延期,有的甚至試用都已經快一年半了,採購流程還沒走。等真的無法試用了,發起採購流程又必須從三四家選,可想而知有的必然是炮灰。 11/n
就拿程式碼掃描來說吧,這工具國內外都有不少產商提供。國外的自然排除了,國內的有大公司做的,也有創業公司。有兩個公司的產品同時試用了至少一年多,到後來我都不好意思發email讓對方延長試用期。最後發起了採購,經過長久拉鋸以及最後的其他渠道砍價,最終採購價低到讓我不敢相信。 12/n
這麼說吧,這套安全工具的價格大概是一個中級安全開發工程師一個多月的薪資。可以想像乙方最終是有多麼的咳血,經歷瞭如此長時間的拉鋸,耗費如此多人力陪我們試用,最終是這個價格。但是有單總比沒單子好,是不是?最終還是簽下。 13/n
在這個過程中,我和同組的同事也受到了一些乙方市場的伺候流程,有的真的到了潤物細無聲的地步。例如看同事喜歡狗狗,一女銷售約他週末跑步遛狗,還有女銷售晚上約喝咖啡的,如此等等。當然我們都是本分碼農,都膽小。 14/n
所以,可以理解那些採購部的人得經受多大的誘惑,採購部有一年被抓搞進監獄的不少,其中不少是拿供應商回扣的,也有在公司內陶騰,把一些次用品搞出去賣的。後來聽說採購部的入職訓練是去監獄參觀。 15/n
安全這事,當一家公司沒有在這事上吃過虧,是很難重視的。我當時所在的公司,已經是好多年的獨角獸了,國內外都相當知名。但在這個安全大事件之前,安全的管理可以說是相當落後。這還是號稱科技創新公司所能做到的程度。所以,你想那些政府部門的安全能做到什麼程度。 16/n