当前位置: 首页 > 文章 > 文章详情

谷歌工程总监Parisa Tabriz:区块链不会解决你的安全问题,但是聚会可能会

黑帽Parisa Tabriz是谷歌的工程总监,同时也是网络巨头“零bug追击小组”的负责人。今天,黑帽美国大会开幕,他提醒大家聚会是确保软件安全的关键。

谷歌工程总监Parisa Tabriz:区块链不会解决你的安全问题,但是聚会可能会

当然,还有更多的事情要做:必须设定明确的目标和目标,管理层和员工必须达成一致,从同一页纸上阅读,必须识别和解决bug的根本原因,而不是在漏洞上贴上膏药。

编写安全代码和保护系统是一项艰巨的任务,因此员工需要保持积极性——定期举行一两场小型聚会庆祝成功,鼓励员工把事情做好。

哦,不要被像区块链数据库这样的时尚分心……

区块链解决不了安全问题,”她对人群说,这让那些在世博园内签名抗议的商贩们十分懊恼。“过去10年,我们取得了长足的进步,但威胁形势正变得越来越复杂,我们目前的做法是不够的。”

举例来说,她讨论了谷歌在7月份完成的4年计划,即让Chrome标签非https网页不安全。当命名‘n’羞辱的提议被提出时,出现了明显的阻力,然而,通过设定明确的目标并努力让管理层参与进来,项目启动了。

谷歌的员工们甚至举行了一个诗歌灌录会,写下他们想去的地方的俳句,包括这颗宝石:

谷歌工程总监Parisa Tabriz:区块链不会解决你的安全问题,但是聚会可能会

到2015年,在Chromium wiki上添加和开发了一段详细介绍这个推送过程的代码。这是用来推动案件的管理作出的转换。每个里程碑都是在团队中庆祝的,有时就像烤蛋糕和开派对一样简单。

另一个成功的关键是确定明确的最后期限。Project Zero因执行了90天的披露规则而受到了一些批评:在供应商被告知其产品或项目存在漏洞后不到三个月,谷歌就会公布细节。

大不里士认为,也有例外,特别是计算机处理器世界的幽灵和熔解缺陷(涉及6个月的幕后工作),但总的来说,这些规则鼓励业界加快发布安全漏洞修复程序。我们被告知,98%的漏洞都是在90天的期限内修复的,这与以前常见的补丁长时间延迟相比有了明显的改善。

你可以在下面的视频中看到她长达一小时或九分钟的主题演讲。

Black Hat创始人杰夫•莫斯(Jeff Moss)在其开场白中呼应了大不里茨的呼吁,即建立一个默认安全的世界。他说,大约有320家公司控制着我们数十亿人的网络安全,通常是操作系统、浏览器和关键硬件制造商。

我们必须建立一种围绕防御的文化,”他说。“我们有责任向企业施压。我们可以改变整个世界的安全态势。