网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

可靠软件：如果要开发一个功能，并确保安全可靠，很多人意识里就那么几招，功能测试、覆盖率测试、黑盒fuzz、白盒代码扫描，技术高级点的再加上个符号执行，这些也都偏“反反向能力”，因为这些测试全通过了，也不代表是安全的。有些人可能会说“本来就没有绝对的安全”，但这些测试本质上并没有说明哪些是应该的、哪些是不应该的。而“正向能力”就是要解决这些问题，这也就是为什么别人有信心造出“无法劫持的无人机”、“功能实现正常的加解密算法和协议”。

Chrome与NaCl：如果要在浏览器上运行第三方插件，对性能要求高，必须得跑x86机器码，但如何保护安全性呢？“反方向能力”基本就是inline hook、调试器监控异常、DBI、虚拟机执行，属于哪里有问题就去堵哪里的策略；“正向能力”就如同NaCl这种，确保生成的代码必须符合规范，并利用x86的体系架构，在加载的时候，只要通过验证就能确保安全性，其强度远超虚拟机。

小结：精通反向能力，未必能做好正向能力。国内的反向能力与世界水平相当，但正向能力却实打实的低下，我们也应该开始重视正规军的建设了。

虽说安全的本质是人性的斗争，人的因素不可或缺，但目前大量的工作都是低级重复性的。比如漏洞分析和逆向，除了少数特别复杂和高深的对象，大部分就是纯体力劳动，以下的场景很普遍。

小结：对于企业，如何才能让安全从业者从繁重的分析中解脱出来，更多的聚焦更有价值和挑战性的工作？如何能将部分能力沉淀到平台而不强烈依赖个体，进而更好的规模化、易用化？

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。