关键在于代码
使用专用工具和系统分析产品代码编写的各个阶段。
与安全研究人员合作
理想情况下,每个供应商都应该有自己持续的漏洞赏金计划,以测试基础设施、软件发布流程和最终产品。这将有助于在真正的攻击发生之前发现漏洞,保护客户。
及时回应漏洞报告
尤其是当这些报告非常重要时。我们估计,在 2022 年至 2023 年期间,只有 57% 的供应商能够快速(一周内)响应我们的研究人员报告的漏洞。而在发生无法挽回的事情之前,他们仍有时间修复漏洞并发布更新!
不要对漏洞保持沉默
如果您发现了漏洞(自己发现或在研究人员的帮助下发现),请为其开发补丁,获得标识符(在 CVE 列表中)并公布所有这些信息。
尽快发布更新
尽快发布更新并报告更新--这样攻击者就不会第一个发现系统中的弱点!即使他们自己不利用这些信息发动攻击,他们也可以在黑市上出售这些信息。
完善查找和管理漏洞的流程
进入建立高效网络安全的流程,利用漏洞管理系统。例如,MaxPatrol VM:它能分析漏洞信息,并突出显示最危险的漏洞--趋势漏洞(有关这些漏洞的信息几乎会立即出现在产品中,在检测后 12 小时内)。
小心开源!
如果您的产品使用开源解决方案(例如,流行的 Linux 系统的内核),请告知客户其中的已知漏洞(或不存在的漏洞),这样他们就可以专注于消除真正的威胁,而不是进行不必要的检查。
