企业产品网络安全建设日志0402

全面评估了引入短链接组件带来的风险以及替代方案

引入比较关键的组件，要全面评估它的安全风险和维护成本。包括它有没有公开的漏洞，它选用的依赖是否有缺陷，它的开发者是否活跃，相关组件维护成本，如果应急维护的话，是否有人掌握相关技能？
此外，对于一些管理页面，也应当做到内网保护，也就是外网不能访问相关路径。
整体服务也应当在网关保护之下。我们的网关有一整套安全措施。
经过评估之后发现隐患非常多，对方很好，但不适合我们。
跟开发梳理应用的上下游工作逻辑是非常有用的，发现根本不需要使用引用短链接组件，使用下游服务就能解决问题。

301安全升级正当时

目前在项目经理的助推下，各产品线都在排查自己的域名是否支持https，把成年老域名都给找出来了
无用域名自然下架，其他域名正在热火朝天的排查中
预期有问题的主要是非常陈旧的设备，早期陈旧定制设备上的应用程序，可能不支持https，还有一些日志上传端口。