38
TK教主:对漏洞的一些想法_手机搜狐网
source link: http://m.sohu.com/a/321927532_114877?
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
TK教主:对漏洞的一些想法
雷锋网注:该文作者为于旸, 网名“tombkeeper”,人称“TK教主”,腾讯安全玄武实验室负责人,国际知名的白帽黑客,该文已获于旸授权转载。
对安全问题的一个常见误解是认为漏洞是某种像导弹一样的东西,可以用油纸包起来放到山洞里。但导弹不会消失,而漏洞转瞬即逝。漏洞是动态的,不断产生,不断消失,所以其实更像电。电一旦发出来,难以长期保存。所以搞电力建设,核心不是囤积多少电池,而是建多少电站。对于漏洞来说,“电站”就是安全研究者。
在漏洞研究领域,人和人的差别有多大呢?大到一万个臭皮匠也顶不了一个诸葛亮。在任何行业,这种情况都是管理者最不喜欢的,但又是一个客观事实。在目前以及可预见的未来,没有什么软件或硬件能代替优秀的漏洞研究者。
目前业界公认水平最高的漏洞研究团队是 Google 的 Project Zero。Project Zero 汇聚了全世界各类漏洞研究方向上最好的一些人,每年都能产出数量和质量惊人的成果。那为什么这些人都愿意去 Project Zero?
Project Zero 的待遇当然是很好的。但同样的待遇,很多公司都能给得出。最主要的原因是 Google 给了 Project Zero 最宽松的氛围,特别是制度性地允许和鼓励对研究结果进行完全披露。
阅读 (474)
- 微信朋友圈
- 狐友
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK