谷歌Exec表示修复安全漏洞的根本原因

拉斯维加斯 - 8月7日Black Hat USA的开幕主题演讲有一个强烈的信息，有一种更好的安全方法，而不是一次只修复一个bug。

Black Hat的创始人杰夫莫斯表示，现代网络安全技术倾向于支持攻击，现在是时候改变支持防御的势头，这一主题得到了Google工程总监Parisa Tabriz的回应。

大不里士说：“我们不得不停止打击鼹鼠，我们必须在防守方面更加雄心勃勃，战略性和协作性。”

Tabriz有助于监督Google的安全工作，包括管理Project Zero研究团队，该团队负责报告漏洞并与供应商合作以帮助修复漏洞。

她说，在她的职业生涯中，有很多次她觉得自己正在使用一个真正的世界版本的whack-a-mole街机游戏，其中塑料鼹鼠弹出，玩家必须用锤子击打它。

大不里士表示，当她看到有关该行业已知的软件漏洞的媒体报道但却没有时间解决时，她很生气。

“计算机安全越来越成为世界的安全，我们必须做更多的事情来解决问题，”大不里士说。

“这取决于我们。”

Tabriz倡导的第一步是解决安全漏洞的根本原因，而不仅仅是解决表面问题。

接下来，她建议组织需要更加有意识地进行网络安全投资，并选择可以实现的里程碑。

最后，她建议建立一个由冠军和支持者组成的联盟，以帮助确保安全工作的成功。

“我们不能只满足于孤立的修复，”大不里士说。

为此，她建议每当发现错误时，开发人员应深入了解错误发生的原因。

这可以导致理解为什么某种类型的缺陷测试正在进行或未进行。

Tabriz建议通过询问有关错误发生原因的更深层次的问题，可以强调必须改变的结构和组织根本原因。