- 主题:遇到一家奇葩甲方,扫漏洞从内部扫
漏扫不都这样吗?
肯定要保证关键组件最新啊,否则那些cve怎么修补上。。。
【 在 dukenuke 的大作中提到: 】
: 防火墙策略弄得再完善也不行。
: 在你的主机上装个他们的扫描工具,直接按黑名单扫你全盘。我是没能力保持全部系统
: 组件库文件都时刻保持最新,版本依赖就过不去。
: 这咋弄?
: ...................
--
FROM 36.152.157.*
话说kafka 0.8还是14年的版本吧,3年前至少也该用到1.0了。。。
其次,用开源组件就要想好售后服务到底是谁提供,所以政企大客户一般都要求用商业
软件,出问题好找人。真要用开源组件,乙方肯定要承诺自行维护,服务期内有问题你
都得负责。
【 在 dukenuke 的大作中提到: 】
: 一般不是补不上就不补了,挡住就行了吗。
: 比如我的系统里有内部的postgresql服务,只给我自己的几个应用存内部数据,防火墙
: 上把端口都封了。那我弱密码就弱密码,旧版本就旧版本,有什么危险呢?
: 例如我的系统平台3年前建,用的kafka0.8,现在都3.1了,后台服务依赖都二合一了,
: 外部API也几乎全变了,0.8官方也停止维护有一阵了。正常做法不应该是把Kafka的内部
: 通信跟外部全封掉,完全对外隐蔽苟着么?
: ...................
--
FROM 36.152.157.*
政企大客户对安全很重视的,项目前期沟通就会说清楚等保级别,报价也是综合报价。
这种系统建设一般都是业务部门提需求、技术部门建设。业务功能是业务部门关注的,
安全运维是技术部门关注的。现在国家三令五申搞安全,后台一堆安全系统在扫描,安全
检查过不去,系统都不能上线,项目建设时候,甲方比你还重视安全,只要是合理的安全
费用,不可能砍你的。
【 在 adoal 的大作中提到: 】
: 说到底就是为了安全而带来的翻倍成本谁来付,
: 甲方在决定经费时能说得上话的人是否有安全成本的意识。
: 现实中往往是没有的,只愿意为业务功能付费,业务之外的
: ...................
--
FROM 36.152.157.*
这种扯皮和是不是安全关系不大,是项目管理的问题。把业务功能拆给二家做,一样会扯皮,归根到底是各家项目范围定义清不清楚。
作为乙方,在开始时就要把可能的工作想全,尤其是需要别家配合的,然后报价报全了。如果说不知道安全要做什么,拆不出来,那只能怪自己不专业,自己背锅也没啥可委屈的。
【 在 adamhj @ [LinuxApp] 的大作中提到: 】
:
: 这就不好说了,有的甲方项目交给一个公司A做,安全交给另外一个公司B做,但是实际上要搞一些安全整改的时候又要A公司配合,安全的投入又只给了B,这里就很容易出现扯皮的情况
:
: 【 在 archblue 的大作中提到: 】
: : 政企大客户对安全很重视的,项目前期沟通就会说清楚等保级别,报价也是综合报价。
#发自zSMTH@M2004J7AC
--
FROM 223.104.147.*
都一样,A还是B都得知道自己的项目边界,哪些是自己做的,哪些是别人配合的
【 在 flw 的大作中提到: 】
: 有一说一,你这里说的「自己背锅也没啥可委屈的」到底指的是 A 还是 B 还是 A和B
: ?
--
FROM 36.152.157.*
项目设计时候,A和B划分工作界面也能叫扯皮?价都没报到,有啥能扯的?
【 在 flw 的大作中提到: 】
: 哈哈哈哈。那你还装什么大明白。
: 这不就是 A 和 B 开始扯皮了?
--
FROM 36.152.157.*