【图书】白帽子讲Web安全第2版
Web 安全领域的小伙伴,大都应该看过科学家级天才黑客道哥吴翰清的《白帽子讲 Web 安全》!
这本书,可谓安全从业者的标配,不仅国内小伙伴给出的好评如潮,收获了豆瓣 8.2 的高分,还被美国斯普林格出版社隆重引进在全球发行英文版,这在安全著作中也是独一份的待遇!!!
如今,时光荏苒,距本书第 1 版的出版转眼过去了 11 年,第 2 版也是时候隆重登场了!
@吴翰清:第 2 版想要解决的痛点问题是什么吧~~
在这 11 年里,世界发生了许多变化:云计算不再是一个故事,大数据成了重要生产要素;深度学习的崛起则开启了第三次人工智能浪潮,机器人打败了人类棋手,在大模型的加持下,人工智能正在挑战越来越多的人类职业。
我们经历了新冠疫情,正在经历俄乌冲突,这一切都让安全问题变得更加敏感。
互联网的渗透无处不在,数据隐私、科技伦理变成人们愈发关心的话题。
过去的 11 年,我们看到了自动驾驶汽车失控酿成的交通事故、无人机被应用于战争、聊天机器人诱使人类自杀、元宇宙中发生性侵。
科技的突破似乎总伴生着新的威胁,让人们在憧憬美好未来的同时,无法忽视那柄悬于头顶的达摩克利斯之剑。
在这次技术革命的关口上,安全再次变成一个必须直面的问题:科技带来的是生存还是毁灭?
因此,在这个关口上将本书更新为第 2 版又增加了一份责任。
正如本书开篇所言,“互联网本来是安全的,自从有了研究安全的人,就变得不安全了”。这似乎是一个悖论,但我们不妨认为,白帽子的使命,就是站在建设者的对立面,思考一个更加完善的系统应当是怎样的。
这些年安全圈对白帽子理念不懈倡导,让产业界终于接受了 “红蓝对抗” 这一源自黑客文化的惯常做法,这是一场胜利,它给予所有白帽子应有的宽容和尊重,对应的回报是互联网变得越来越安全了。
十年前,多数公司会将报告漏洞的白帽子视为敲诈勒索者,白帽子在漏洞的缄默期之后选择公开漏洞的行为被视为对资本的挑衅。
甚至还有公司将员工里的白帽子写脚本 “刷” 内部系统的中秋节月饼视为道德问题,而选择性忽视了白帽子报告漏洞的事实,令人哭笑不得。
十年后的今天,在安全政策上成熟的公司会更多地建立友好的社区关系,将白帽子的这种行为视为类似于媒体的舆论监督。白帽子和记者的职责是类似的,首要的都是对公众负责,这是一种侠义精神。
黑客精神中所谓的 “挑战权威”,就是指通过一己之力让大企业在普通用户面前保持谦卑的态度。
长期以来,这种独立的监督在人类社会中发挥了重要作用,从某种程度上来说,它是实现社会公平的一种保证。
如今在面临科技失控的挑战下,白帽子的责任在于,通过对安全技术、安全政策的研究,跟上科技发展的步伐,将科技的种种成果限定在对人类有益的范围内,控制科技所带来的负面影响。
因此,科技发展的速度,委实受限于对应的安全技术发展的速度。第一次工业革命发生时,人们担心蒸汽机会爆炸;第二次工业革命发生时,人们担心高压电会带来生命危险;面对当前正在发生的人工智能革命,人们则担心 GPT 等大模型会冲击就业,带来机器意识失控的危险,因此多位计算机科学家联名签署了倡议书,建议暂缓训练更强大的人工智能大模型。但人类历史上所有的科技进步,最终都转化成造福人类的果实,其中必不可少的前提,就是科技的安全水平达到了一种可接受的程度。
帮助互联网相关的各类计算机系统达到一个可接受的安全水平,就是本书的写作目的。
本书第 1 版在过去的 11 年中得到了广大读者朋友的支持和好评,我也因编辑张春雨先生推荐,被评选为电子工业出版社四十年来 50 位有影响力的作者之一,倍感荣幸。但遗憾的是,在过去的日子里,我一直未能有时间和精力对本书内容进行修订,使其与时俱进。直到 2022 年,我才终于下定决心将本书更新为第 2 版。
在这次修订中,我邀请曾经的老同事,和我一起工作了十年的一位关键技术专家 —— 叶敏,来担任第二作者。
叶敏是团队中技术最好的几个人之一,有着高尚的品格和白帽子的职业操守。他见证了云计算安全从无到有的全过程,所涉猎安全知识的深度和广度都令我敬佩,交给他的安全技术问题还从来没有解决不了的。他深得云安全的精髓,是最合适的第二作者人选。
叶敏修订了大量章节,更正了一些错漏和过时之处,同时新增了移动互联网、云计算、机器学习、DevSecOps 等许多新领域的安全知识,使得第 2 版能够跟上时代的发展。
本书专注于安全技术的细节和原理,其内容来自我们多年的实践,对具体的工作有实际的指导意义,同时它也可以作为一本安全手册,供所有开发者查阅。
从第 2 版开始,我们希望能够将这本书长期更新维护下去,以帮助更多需要它的人;同时,也希望未来有机会将这本书升级成 “白帽子安全讲义” 系列丛书,《白帽子讲 Web 安全》将会是这个系列的一个起点。
一起建设更安全的互联网!
对这《白帽子讲 Web 安全第二版》有兴趣的读者,可以通过下方解详情。