本文作者谢幺，科技作者，微信：dexter0

用医生比喻网络安全人员者，精辟得很，不光在于治伤捉疾的逻辑类似，“医患关系”也如此。

比如，生了病才想起医生，不生病时你叮嘱他注意作息饮食按时睡觉？

呵呵，我没病，先爽了再说！

搞安全也是永远在止损，没出事之前价值很难衡量，常常是“事件驱动”，被黑客搞了才开始较真。

再比如，有些人总觉得搞安全的经常危言耸听，就像即使是小病小伤，医生也让你先去做个全身体检。

安全行业的“医患”逻辑甚至可以套用在《扁鹊见蔡恒公》里。

一天，安全人员对老板说，“君有BUG在腠理，不治恐将深”，老板说“寡人无疾，安全人员之好治无病以为功。"

过不久，安全人员跟老板说，“君有漏洞在肌肤，不治恐将深”，老板不悦，曰“寡人无疾”。

不久，安全人员辞职了，老板问他为啥辞职，答曰：“漏洞出现在产品开发阶段时，很容易就修补，你不管；漏洞在产品测试阶段出现，修补也不难，现在产品上线了，高危漏洞一大堆，这锅老子不背！”

居五日，公司数据泄露，使人索安全人员，已跳槽矣，公司遂亡。

这不是说段子搞笑的，这是残酷的事实，不少企业的安全状就是如此。11月1日，默安科技新品发布会上，资深网络安全专家云舒印证了这一逻辑。

知名网络安全专家、默安科技联合创始人、CTO  云舒 ↑

一个产品开发生命周期中，不同阶段修复安全漏洞的成本差距非常大，研发阶段和运行阶段的修复成本甚至能相差数百倍。

什么意思呢？云舒举了个例子：

产品在开发阶段发现个漏洞，找开发人员直接Fix 就行。成本是单倍。

 

测试阶段发现问题，就得拉上运维、研发、测试、安全、产品等好几个部门来解决，还有一定沟通成本。成本可能是两倍。

 

到了发布阶段，产品在线上检测出漏洞，需要安全人员给方案，和研发人员沟通，测试人员验证，还需要承受线上风险。成本可能是十倍。

 

等产品真正上线后出问题了，公关部门就闪亮登场开始填坑，没准还要老板亲自发文道个歉，泄露了用户数据被请去喝茶。然后是业务部、产品、运营、市场、客户投诉、开发、测试……成本可能是百倍千倍，甚至无法衡量。

这就是“不治将恐深”，活脱脱的网络安全版《扁鹊见蔡桓公》有木有？

90%的公司在产品开发阶段都不太考虑网络安全，只想着产品早日上线。往往等到产品上线后，再进入出漏洞，修补，出漏洞，修补的循环，甚至有的产品架构都需要重构。

早发现，早治疗，道理谁都懂，可是现实很骨感。

显然，研发安全是所有企业都无法回避的问题。无论是高大上的云计算，还是传统行业“比较土”的服务器、租用托管，都避免不了由自己的员工开发自己要用的系统。

云舒说，对于微软、google 那样的大公司而言，常用一种名叫 SDL 的安全开发流程规范来确保安全，从产品的开发到上线，让安全人员参与进来，每个环节都考虑安全和用户隐私因素。

然而这终究是巨头公司。云舒直言“国内很少有公司能把 SDL 做好，勉强及格的只占8%左右。”

云舒没有说破，但在我看来，造成这种情况的本质原因就一个：不愿意在安全方面花太多钱—— 产品先上线，赚钱再说！

安全永远是止损，收益很难直接观察到，不出事，很难衡量价值，以至于往往只关注到开发而忽略安全。

这个问题表现在实际当中就是：缺人，缺安全人员。

我们都知道，安全人员的薪水还是比较高的，现在的安全产品操作界面都挺复杂，只有专业安全人员才能用懂。

那么问题来了，如果开发、测试阶段的每个漏洞都让安全人员盯着来审核、修复，确认、修复，那他就基本不用干别的活儿了，就耗在上面了。

云舒说着，聊起以往自身的经历，

以前在阿里云安全的时候，唯一一次试用第三方安全产品，让人抓狂。

当时用的某国际知名厂商的安全扫描产品，由于我们的产品又是做安全的，非常复杂，结果各种误报，恨不得每天报一万个问题。

若是一个个审核，人手永远都不够。

既然多招几个安全人员太贵，研发安全又很重要，有没有一种办法或工具，能让开发人员和测试人员，在产品研发的早期阶段，“顺手”就把安全漏洞解决了呢？

这个曾经困扰云舒很久的问题，终究被解决。他按下翻页，身后旋即出现“赋能”二字。

答案就是赋能。

他们想通过一个产品，把专业的安全能力赋予给不懂安全的研发、QA人员，让所有普通员工能在不增加工作量，不改变工作方式的情况下，拥有判定安全的能力，像是拥有一把鉴定安危的利剑。

说起“雳鉴”，云舒不无骄傲，那么，它到底是怎么工作的呢？

软件开发阶段，雳鉴是一个交互式白盒测试系统，对所有代码进行安全提示，对所有代码仓库进行安全巡检，不让一处有安全隐患的代码上线。

测试阶段，它是一个人人都能用的灰盒和黑盒测试系统，利用被动扫描的方式，跟着开发、测试人员的步伐，把每个流程的安全进行检查，防止产品带病上线。

当然，要做好这件事并不容易，既要能找出安全漏洞，又不能老是误报。如果一个安全工具成天报错，拖慢正常的研发节奏，注定会被舍弃。

基本上接近百分之百没有误报。

对于这一点，云舒尤其有信心，

因为我们宁愿漏报，也不误报。

这个耿直Boy解释道，这是基于他自己多年从业的思考。

他认为，本质上漏报和误报本身就是个矛盾体。但安全可以是分层次的、立体的，每一个层次都只做当前层面最适合做的事情。

有的漏洞可以在第一阶段放过，因为它适合在第二阶段处理。就像过滤器，每一层只能过滤一种杂质，但叠加起来就能达到很好的过滤效果。

宁可漏报也不过多打扰，曾经亲历过“误报之苦”的云舒想把雳鉴做到足够简单。

不需要任何的安全知识，QA（测试人员）会用，PD（产品经理）会用，说不定公司老板也会用。

后记

相较国外企业，国内公司在网络安全方面的投入不足是现状，即便《网络安全法》出台后，这种状况在逐渐改善，但放眼望去，国内企业的安全建设之路还很长。

“雳鉴”便是默安科技的三位安全专家能想到的，在当下大环境下，能将漏洞扼杀于萌芽的最好方式。

【默安科技三位联合创始人：左起汪利辉、聂万泉、云舒，离职创业时title分别是阿里高级安全专家、阿里云平台安全总监、资深安全专家】

回到安全与医生的思辨，我想起医神扁鹊的另一个故事：

魏文王问扁鹊，你们三兄弟谁医术最牛X？

扁鹊说，我大哥是医术最牛，我二哥其次，我最菜。

魏文王不信，扁鹊解释“上医治未病，中医治欲病，下医治已病”。

我大哥在别人没发病之前就预防了，所以大家不知道他的医术高。我二哥在别人刚发病时就治好，所以他名气也不大。我往往是别人快死了才出手救活，所以显得牛X，请问，我是不是很鸡贼？

默安科技这回妥妥当了一回“上医”。

其实，不止是默安科技，那些帮助人们防患于未然，在漏洞爆发之前就修补的安全人员，都是上医，他们的功劳值得为人所知，值得尊敬。

---

本文作者谢幺，科技作者，微信：dexter0