对外行人来说,可能会觉得漏洞管理中涉及的诸多细节过于烦琐。但如果你记得计算机科学基础入门(Computer Science 101)中的内容的话,也就是输入、输出、处理,所有的程序都不过如此。例如,一个电子邮件程序,发件人发送的消息即是输入,然后该程序对消息进行处理,将其按照语义分解为各个部分,最后,程序将邮件消息按照应有的格式显示给收件方。
这些流程看起来似乎很简单,下面来详细看看这些程序是如何开发出来的:
1)概念和方案:企业或政府运作的某种功能需求。
2)需求收集:开发者分析需求并向用户阐明需求。
3)设计:针对需求进行开发。
4)编码:程序员编写代码并进行测试。
5)测试:如果是一次全面的程序开发,测试团队将确保代码符合需求。
6)部署:企业宣布在生产系统中安装软件。或者,封装为软件套装销往海外。
这些流程听起来很耳熟,其实这就是所谓的系统开发生命周期(System Development Life Cycle,SDLC)。上面的每一环节中,用户都有可能会因为漏掉一些东西而导致问题的出现。因此还需要下面几步:
7)漏洞检测:攻击者、研发者或最终用户都可能在输入、输出或在与其他系统功能的交互过程中发现安全漏洞。这些漏洞也可以被认为是需要完善的潜在功能。
8)漏洞利用:测试者从各种不同的角度尝试利用该漏洞来突破软件原有的各种使用限制。
9)漏洞修复:软件补丁被开发和安装部署,重新运行程序,于是新功能被自动启用。
这几步也是我们这些年在生活中经常遇到和熟知的。复杂性、连通性和互操作性,这三个因素使得步骤7)到步骤9)比以往更普遍、也更困难。
