■孔毅

面對產(chǎn)品安全漏洞問題應(yīng)采用何種處理方式

■孔毅

筆者認為，任何一家公司都應(yīng)當(dāng)有對于產(chǎn)品漏洞問題的安全應(yīng)急響應(yīng)流程，像百度這樣擁有強大技術(shù)實力的公司經(jīng)過多年的積累，已經(jīng)打牢了基礎(chǔ)，所以此次才能如此迅速的將漏洞修補。另一方面，產(chǎn)品有漏洞實屬于正?，F(xiàn)象，通過此次事件也凸顯了百度的實力，其APP仍然是值得信賴的。

在剛剛過去的10月，烏云漏洞平臺又爆出包括多款百度系A(chǔ)PP、口袋理財、萌萌聊天等應(yīng)用存在漏洞，稱安卓手機在連接網(wǎng)絡(luò)后有被遠程控制的風(fēng)險。而諸多被爆的公司中，百度首先做出了回應(yīng)，并成第一時間對應(yīng)用進行了更新，完成了對漏洞的修補。

其實軟件漏洞被爆的事件并不少見，但如何采取應(yīng)對措施、把用戶的損失降到最低，這其中還是非常有學(xué)問的。

百度作為一家以技術(shù)擅長的互聯(lián)網(wǎng)公司，其完善的應(yīng)急響應(yīng)流程、積極的應(yīng)對措施為日后其他廠商面對安全事件時提供了可借鑒的方式和經(jīng)驗。

公司知名度與躺槍程度成正比

可能還有人記得，去年特斯拉因為存在安全漏洞并一舉攻破，一時輿論嘩然。這次事件引發(fā)了人們對車聯(lián)網(wǎng)安全性的擔(dān)憂。但實際上，只要及時修復(fù)漏洞，升級軟件版本，發(fā)現(xiàn)問題了改正就好，大驚小怪倒是真沒必要。

現(xiàn)實世界里，完美的系統(tǒng)從來不存在，只要系統(tǒng)不是“寫死”的，存在升級、數(shù)據(jù)交互的條件，就可能會出現(xiàn)漏洞，只不過問題暴露總是或早或晚而已。但由于知名互聯(lián)網(wǎng)企業(yè)擁有海量用戶，一旦暴露漏洞就會受到廣泛關(guān)注。

但大型互聯(lián)網(wǎng)公司暴露問題的影響也分兩面看，既然不知道上帝會把問題的篩子擲向何方，那就必須時刻做好準備，軟件更新、查找問題源頭、修復(fù)漏洞的過程要求產(chǎn)品技術(shù)團隊要既快速又準確，在爭分奪秒斗智斗勇的過程中，其實非?？简灩緦嵙?，大型互聯(lián)網(wǎng)公司更容易從容應(yīng)對這類事件。

領(lǐng)域內(nèi)的相關(guān)專家高度評價了百度在處理漏洞問題上，快速的回應(yīng)和解決措施。同時發(fā)表評論表示，“很多時候，業(yè)內(nèi)也沒有必要將這類事情盲目夸大，我看到業(yè)內(nèi)有利用這個機會攻擊競爭對手，比如爆料百度自己開發(fā)了4000多個APP都有漏洞，其實想想也不可能，這個就屬于惡意攻擊的行為了。

不幸中的萬幸，漏洞并未被黑客利用

幸運的是，這一漏洞是被烏云曝光，而不是被黑客們發(fā)現(xiàn)。這就讓此次事件變成了一次危機防范，反而讓涉事的APP得到提前加固的機會。

比較惱人的是漏洞在被“白帽子”曝光之前被黑客發(fā)現(xiàn)，這就讓黑客有機可乘。類似的事件比比皆是：今年3月某著名社交應(yīng)用紅包曝出的漏洞；十幾天前被曝光的著名支付軟件實名認證漏洞……不過事后大家都及時修補了漏洞，也算是不幸中的萬幸。

互聯(lián)網(wǎng)行業(yè)中，“白帽子”是一個無害的群體，很多大型互聯(lián)網(wǎng)公司都采取各種獎勵機制，建立應(yīng)急響應(yīng)中心，鼓勵“白帽子”主動查找自己產(chǎn)品中存在的漏洞和問題。只要能夠第一時間發(fā)現(xiàn)問題所在，及時修復(fù)漏洞，即便是別有用心的人想趁此機會造些傷害出來，可能也會撞上銅墻鐵壁。這次烏云曝光百度App存在漏洞，恰恰說明了防御機制的作用是多么重要。

先解決產(chǎn)品問題才是王道

百度的漏洞事件中，我們卻并未看到公關(guān)過多介入的痕跡，事件曝光兩天的時間里，我們看到的報道都還是直指問題所在。這也顯示出，這次百度的應(yīng)對策略堅持了正面面對，并且一直在公布漏洞修復(fù)的進展。

截止到10月30日24點之前，百度全系涉事APP都已經(jīng)緊急修復(fù)了漏洞，完成了新版本的升級上線，廣大用戶及時更新軟件即可修復(fù)漏洞。再加上此次漏洞只涉及到安卓手機應(yīng)用，蘋果用戶更是無需擔(dān)心。

媒體報道中透露，其實百度云安全的內(nèi)部安全團隊，在烏云曝出安全問題之前，就已經(jīng)知曉了具體信息，并且發(fā)布內(nèi)部預(yù)警信息，全面啟動應(yīng)急響應(yīng)流程，與相關(guān)產(chǎn)品團隊進行溝通，確定了修復(fù)方案。

筆者認為，任何一家公司都應(yīng)當(dāng)有對于產(chǎn)品漏洞問題的安全應(yīng)急響應(yīng)流程，像百度這樣擁有強大技術(shù)實力的公司經(jīng)過多年的積累，已經(jīng)打牢了基礎(chǔ)，所以此次才能如此迅速的將漏洞修補。另一方面，產(chǎn)品有漏洞實屬于正?，F(xiàn)象，通過此次事件也凸顯了百度的實力，其APP仍然是值得信賴的。