安全,是最容易疏忽,但一出问题就异常棘手的事儿。
不管你有没有注意到,安全事件在互联网行业其实一直屡见不鲜。2017 年,虾米的客户端被曝出一段“嘲讽”未付费用户的注释,本应该是机密的代码被流出;2019 年 1 月,拼多多爆发了“100 优惠券”随便领安全漏洞,损失惨重;2019 年 7月,7-ELEVEn 连锁便利店的日本客户,因移动应用漏洞而损失了 50 万美元……
这一系列事件,都在警醒着我们,在追求开发效率的同时,一定要把“安全”这俩字放在心头。
尤其是在大厂,对安全的要求胜过一切。比如千万用户的数据保密、如何对密码进行多次加密、如何做身份认证等等……
不得不说,作为一个普通的程序员,学好安全基础,尽早做好安全规划,才能随时应对可能出现的安全漏洞。这样,不仅我们能为公司贡献更安全的应用,也能为自己日后的进阶做好铺垫。
但是,工作多年,我发现身边很多程序员,遇到很多安全问题,还是无从下手:
- 每次代码上线都被爆出有各种Web安全漏洞,那么,应该怎么样去避免自己写出这些包含漏洞的代码呢?
- 在项目中,大家都会使用各种第三方插件来辅助开发。那么,是否能够意识到,这些插件中的漏洞,也是很多黑客利用的点。那么,有哪些方法可以帮助你去进行防护呢?
- 应用的运行,离不开操作系统、容器、数据库等产品的底层支持。那么,你能否知道,黑客会通过一个小小的应用权限,利用BUG或者安全漏洞,去长期操控你的底层系统?
