企业产品网络安全建设日志0725

背景：

三方依赖安全风险管理与提升是我司推行的安全策之一略。交由测试部管理负责推进。

前天遇到的挑战是某后端部门排期出现问题，本应该做漏洞提升的时间被其他工作插入。时间有压力自然会想到变通之法。
团队有人A提出，是否有必要按照某软件报的漏洞信息实施安全提升工作。
特别是搬出来A之前在，其他企业的经验，即
1 报漏洞，不修漏洞
2 外部渗透爆出的特定风险才予以修复
以及进一步提出了安全升级工作的性价比多少

显然，这种说法是安全工作中的一个挑战。当时，测试部门相关领导就有点懵了。因为推动时间也蛮长了，做出了：只要升级一部分，易升级的组件即可。
基础团队的伙伴过来找，为什么特定组件不进行修复？基础的安全种子显然已经埋下。
在我了解了前因后果后做了进一步的分析：
我们的信息安全策略就是通过覆盖三防组件风险，降低我们产品自身的风险
开发团队消极应对的症结在于各子项目排期插入严重，只能诉诸于价值论
测试团队需要进一步支持，因为组件升级，许可证升级以及后续的编码安全建立都是一串蚂蚱
A前大厂的策略站不住脚
安全宣讲和必要的沟通是无法回避的

解决方案

• 针对项目排期问题：寻求项目同学提供支持
• 针对安全升级复杂度问题：了解到基础研发同学已做了预研，部分部门已推进完毕，将上述信息做了同步
• 针对升级方案推进者的疑惑进行答疑解答：推动者任务测试部门领导负责，需要为其提供行动的理论支撑。
• 针对升级方案被推进者：会议拉通，充分讨论，统一思想。
  最终比较成功将该事件处理完毕。