020-29133788
    资 讯
    您的位置:首页 >> 资 讯 >> 软件应用 >> 软件安装 >> 正文
    Twitter开源小兵立大功:组装多套开源小软体,不花大钱DIY自动化安全开发流程

    点击:   发布日期:2013-06-24

    本文来自 www.020fix.com

    面对网站使用者帐号出现盗用与置入恶意连结的威胁,以及遵循政府对于安全性的要求,Twitter整合开放原始码软体的力量,建构自动化流程,协助开发安全性较高的网页应用

    在Twitter这样大型社群网站上,常见到的威胁是伪装成其他使用者身分、采用企图溷淆视听的使用者帐号,或甚至侵入帐号,伺机置入垃圾讯息、广告文案、诈骗连结或恶意网址的连结。

    事实上,过去Twitter在使用者内容张贴的安全管控措施并不严格。该公司的软体工程师Alex Smolen坦承,用户在推文中可以任意张贴可能影响浏览者电脑操作时的程式码,例如置入一个让浏览者电脑跳出警示视窗程式的网址,使得每个人一旦开启这篇推文时,就会自动弹出视窗。

    就Twitter实际发生的资安事件来看,近期最受瞩目的,莫过于美联社Twitter帐号遭骇客入侵盗用,谎报美国白宫受攻击、总统欧巴马受伤的假讯息,导致该国股市大跌,随后因为消息澄清而反弹。更早之前,在2009年,有一些用户的Twitter帐号,接连传出被骇客入侵、冒用帐号的事件,受害的对象包括欧巴马、福斯电视新闻台与其他单位。

    这些事情的发生,后来导致美国政府的联邦贸易委员会特别出面,对该公司展开调查。双方最后达成和解的条件是:往后20年当中,Twitter承诺将设法维持与保护使用者非公开资讯的安全、隐私、机密与完整性,避免误导。由于上述原因,做好资安成为该公司必须努力去遵循的目标,这也导致他们必须更重视这些问题的出现与处理,于是,Twitter决定成立一支专门负责强化网站资讯安全的小组。

    将安全开发流程当中的部分人工作业,改为自动执行
    在该公司每一季举办的创意实践週(Hack Week)活动期间,这支小组在自动化处理与流程改善上,有了很大的进展。他们确立了下列规范:

    将正确资讯交给正确的人处理
    选写安全的程式码不只是考量技术上的议题,也关乎利用技术来进行工作的人,因此如何更有效地沟通是重要的,要做好这些事不该只是产生一份报告、交给某人,而是要为那些写出安全性弱点的程式开发人员,针对需要修补的部份,提供明确的资讯。

    尽快发现与修正程式码当中的臭虫
    在软体开发过程中,难免会写出会产生错误的程式码,若能越早发现这样的问题、予以修正,日后就不需要耗费加倍的时间去处理。

    不再犯同样的错误
    如果能预先知道可能产生的程式码问题,后续就不会有其他问题产生。我们总是一再地修正同样的程式问题,目标应该放在如何利用自动化,来预防同样的问题再发生。

    能够从多种角度去分析程式码
    从程式原始码、上线环境,甚至到使用者端的浏览器中去收集资料。

    让别人证明你的对错
    开发人员需信任我们,因此他们必须告诉我们关于误判的状况。如果我们错了,必须让他们能够告知我们,并且不要浪费对方时间。

    大部分人想把事情做对,因此将他们需要去修正的资讯给他们,他们就会做到。

    将愚蠢的工作自动化
    所谓愚蠢的工作,是指不需要批判或创意的工作。这可以善用软体的力量来自动进行,而不需要浪费无谓的人力。

    调配作法,提升适用性
    建立专属的工具组,能够节省可观的时间和金钱,以便将心力专注在我们真正在意的精细处。

    跟Twitter学安全开发流程:提升程式码安全该有的基本准则
    1 将正确资讯交给正确的人处理。
    2 尽快发现与修正程式码当中的臭虫。
    3 不再犯同样的错误。
    4 能够从多种角度去分析程式码。
    5 让别人证明你的对错。
    6 帮助会自己寻求解法的人。
    7 将愚蠢的工作自动化。
    8 调配作法,提升适用性。