插播一条消息~
漏洞事件每次都牵绕着用户脆弱的心脏,也牵动着我的心脏=,=
放眼IT产品,从硬件到软件,从操作系统到上层应用,漏洞无所不在,因为事件驱动,今天跟大家聊一聊漏洞到底有多可怕
一、为什么会有漏洞
漏洞的审查需要非常细心和丰富的经验
稍有不慎就会出问题
就像写一句话会出现错误,代码受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序运行效率,重则导致权限被随意获取
二、如何看待漏洞
Tip1:漏洞绝对无法避免,看到漏洞不要过于紧张,是伴生品
Ariane5Crash航天火箭,使用最严格的代码格式,最高级别的代码审查,最繁复的运行测试,还是没有躲过系统软件中的整数溢出漏洞,引起爆炸,损失高达3亿W美元
Tip2:出现漏洞不代表厂商能力不足
如果把出现漏洞的厂商全部在供应商排除,发现这个世界没有合格的供应商,就像加密算法随着时间总是被破解,破解的关键就在于总是找到了漏洞
据统计年Windows披露了个以上的漏洞,平均每月修复多达60个漏洞,其中也包含了EDR的竞品,微软WindowsDefender本地提权漏洞
Tip3:用漏洞去攻击友商就像一个憨憨
刚刚入行不久的厂商销售人员才会拿漏洞来攻击友商,这是一种非常不专业的行为,攻击的结果往往两败俱伤,因为查一查自己产品的漏洞历史可能发现被曝出的漏洞比别人还多。当然,一个负责任的厂商一定会尽可能减少漏洞的出现,当频率过高也一定会快速被淘汰
三、漏洞出现就等于风险吗
一个公认的结论:漏洞是广泛且必然存在的,不以我们的意志为转移
漏洞是软件的伴生品,但绝不等于风险,就像新冠本身不可怕,没有疫苗才可怕
所以,当漏洞出现的时候,厂商是否给出解决方案,是否主动帮助客户解决问题,是否快速跟进优化流程,才是作为用户最需要
