互联网存在着严重的安全问题,需要加以解决。尽管多年来,业界多次呼吁采取行动,团结起来,共同制定解决方案,但进展不大。需要的不一定是更多的安全技术。需要的是开发人员更好的工具,以便他们能够提高自己的c颂诗
White Ops的首席科学家兼联合创始人Dan Kaminsky在拉斯维加斯Black Hat的主旨演讲中,提倡开发环境和编码框架,使开发人员能够在不影响可用性或扼杀创造力的情况下更轻松地实现安全性,“我们这个时代的隐藏架构:互联网为何工作,我们如何失去它,以及黑客所扮演的角色”,呼吁安全行业思考新的编程环境如何具备内置和默认开启的基本功能和安全特性。
卡明斯基告诉与会者:“我担心开发人员在不被安全问题扼杀的情况下进行创新的能力。”。
主旨演讲后,我与Kaminsky会面,讨论开发者需要继续创新和开发什么。在他的演讲中,他说,“我们必须弄清楚人们想要做什么,并帮助他们安全地完成。”在我们的讨论中,他解释了这意味着如何研究编程语言、使用容器(如Docker)以及共享代码。
卡明斯基告诉我,现在有如此多的创新和技术,“每天的开发者都可以做大量的事情。”。“如果他们没有办法安全地构建这些技术,那么所有[开发者]的想法都将离开‘我们如何构建用户想要的东西’而转向‘我们如何在现实世界中生存下来’。这是对人们思想的消耗。”
答案不是更多的标准或理论,而是“现实世界的实验”,卡明斯基说,“没有更多‘如果你真的关心安全性,就用这种语言编写程序’。”
创建新的工具是一回事——比如说,像Rust这样的编程语言通过强制执行内存安全来消除一整类漏洞——但看看开发人员如何使用它又是另一回事。如果他们不能用新工具完成他们需要完成的任务,他们会找到解决办法。
例如,很容易说停止用C编写代码,因为可能会引入与内存相关的漏洞。但是,如果开发人员需要嵌入代码,那么Python将是“更安全的”语言不是一种选择,它必须是C语言。通过查看实际用例和开发人员的工作方式,我们了解这些障碍,并可以开始找出解决方案。
卡明斯基在演讲中说:“我不喜欢迟钝、难以使用、理论上正确、但操作上困难的解决方案,因为它们在数学上是正确的。”需要有人关注操作问题,以弄清事情到底是如何运作的,并提出切实可行的答案。
卡明斯基在讲话中说:“我们并没有通过将火灾定为非法来阻止我们的城市燃烧,也没有通过将疾病定为犯罪来治愈疾病。我们实际上研究了这些问题,并学会了提供安全保障。”。“如果我们想提高安全性,请为人们提供易于使用且仍然安全的环境。”
组织中的开发人员每天都在修复应用程序中的错误,但由于他们没有发布修复程序,其他遇到相同错误的人都必须自己修复。开发人员通常会搜索Google或在GitHub周围搜索常见编程问题的代码示例。现在,无法判断某件事做得好还是写得不好。确保每个人都得到最佳修复的最佳方法是发布代码,以便所有人都可以使用。
卡明斯基在演讲中说:“经理们,你们应该让你们的工程师分享解决你们许多内部安全问题的方法。无论如何,你们都在解决它们。”。“总有一天,有人会再次遇到你的问题。”
如果这是谷歌搜索的第一个结果,那么更多的人将使用更好的代码,而不是他们在别处发现的破解。
卡明斯基告诉我:“有一百万个原因说明技术在安全之外不起作用。重要的是,它不起作用。所以游戏真的是,让我们想想,到底是什么起作用。”。
这个故事,“想要安全代码吗?“为开发人员提供正确的工具”最初由据美国媒体 .