招聘開發者常見的九大誤區

　　很多公司在招聘自由職業者和長期性的開發者時往往忽略了他們的安全知識，這是個致命的錯誤。通常在面試過程中，面試官會站在應聘者能否寫出優美的程式碼角度進行考慮，大多數情況下忽略了安全知識——但也不排除在其離開前會提出關於漏洞方面幾個粗淺的問題。僅僅如此是絕對不夠的！要知道，正因為你的不小心，最終可能會聘請因一位網路新手而給你的程式碼庫帶來致命性的災難，或者至少會讓你失望（花費你大量的時間和金錢）。因此，千萬不要犯這樣的錯誤！

　　許多開發者缺乏對安全知識的理解和經驗運用。在面試過程中，如果你發現應聘者有這方面的跡象，那麼你需要進一步挖掘並注意提防。你可以提示應聘者應該怎麼做來確保網站的安全以及為什麼要這麼做或者在建立某個網站時應該注意哪些安全問題？

　　本文列舉了九大誤解，或許這些誤解在你的工作生涯中也曾見識過，我們一起來看下。

　　一、如果我們使用Web框架，那麼不必擔心安全問題。

　　一些流行的框架比如Rails和 Django在編寫之初已考慮到安全性問題，並幫助防止常見的漏洞問題。然而，它們並不能阻止業務邏輯出現的缺陷，比如設定產品數量為負數，這就可能給攻擊者提供了機會。如果你以非常規的方式使用該框架，它們會努力去保護你，此外，許多安全功能需要由開發者手動實現。

　　二、我不是很有趣，沒人想要攻擊我

　　即便你的公司或應用不是很有價值，訪問者或者黑客也可能會攻擊您的網站。如果你的網站能夠被搜尋引擎檢索到，並且還有常見的漏洞，那麼你的網站已不安全了，已經被攻擊了。

　　比如，2008年，有一連串的自動ASPROX 蠕蟲利用網站SQL隱碼攻擊漏洞，以致使用者的電腦受到多個惡意指令碼的攻擊，直到今天仍然有許多網站受到影響。

　　三、我們已經有了備份，因此無後顧之憂。

　　儘管網站被攻擊後，備份可以幫助你恢復，但它絕不是一個網站安全性良好的、可行性的替代方案。

　　遭到黑客臨時被攻擊的網站可能會導致嚴重的後果，比如，被搜尋引擎列入黑名單，敏感的使用者資料被盜，網路釣魚或蠕蟲攻擊你的訪客。此外，即使你把網站備份了，也不能保證其不會再發生了。

　　四、它是一個內部網路。所以，安全並不重要。

　　你永遠也不能確保威脅不會來自某個僱員或者攻擊者以某種方法來獲得訪問內部網路。

　　比如，公司內部的CRM或ERP的機密資料被心懷不滿的初級員工或者因好奇心缺乏安全意識的員工、臨時工因缺乏工作安全性而洩露？攻擊者通過你的無線網或者網際網路連線而獲取網路訪問？等等這些都會對你造成潛在威脅。

　　五、它是安全的，因為通過VPN連線。

　　儘管使用者使用安全的網路連線到你的應用程式，但這並不意味著你的應用程式本身就是安全的。正如我們第四條談到的內部網路（惡意員工和網路漏洞）。

　　六、網站使用SSL，因此，它很安全。

　　如果你的網站使用SSL，它會在你的網站和訪問者瀏覽器之間傳輸加密資料，儘管它能防止他人攔截未加密的資料，但SSL卻無法阻止攻擊者利用漏洞來訪問你的網站。

　　七、我想防火牆可以做到！

　　防火牆實施了一套規則能夠控制訪問者的IP地址或埠，但卻無法阻止訪問者利用漏洞訪問你的網站。應用防火牆的作用是在HTTP請求級別上但不會檢視請求的內容。當正確配置後，防火牆可以幫助減少特定的攻擊，比如跨站點指令碼或者SQL隱碼攻擊，但不會確保你免受攻擊，無法解決根本性問題。更重要的是，黑客會採取很多方法來繞過Web應用防火牆。

　　八、我們做了滲透測試和原始碼分析，因此不需要擔心！

　　滲透測試和原始碼分析是編寫安全Web應用程式的基本組成部分，但它卻不能“包治百病”。重要的是，你不能保證所有的漏洞都能被檢測到，因此你需要確保編寫安全程式碼。更重要的是，修復Bug是如此的昂貴，漏洞亦如此，你應該在滲透測試階段儘可能多地查詢漏洞。

　　九、熱門書籍教你如何編寫安全程式碼。

　　截止到目前，你幾乎不可能找到有關編寫安全程式碼方面的程式設計書籍。開發者利用這些書籍學會Web應用開發，但卻無法做到編寫安全的Web應用，除非他們已經經歷某個應用被黑客攻擊或者其在Web安全方面感興趣。

　　誤解只是個開始！

　　在招聘開發環節中，檢查誤解是極其重要的一步，開發者可以編寫安全的程式碼，但這只是眾多步驟中的第一步。文中提及的這九大誤區，希望對你有所幫助。

　　英文出自：Scantosecure