我知道这个问题可能不适合在这里提出。但我不知道该使用哪个溢出站点。我们有一个 Web 服务器,供客户访问我们的东西。我们的 IT/安全团队认为,出于安全/操作原因,我的开发人员有责任对系统进行修补。我不相信 Web 开发人员能够有效地维护修补。您对以下内容有何看法?
我的开发人员是否应该为了安全目的而修补操作系统?
我的开发人员是否应该负责扫描以检查漏洞?
IT/Sec 团队是否应该进行扫描并通知开发人员需要补丁?
您如何划分您所在环境中的责任?
答案1
我的开发人员是否应该为了安全目的而修补操作系统?
不。这应该交给系统管理员。关注点分离。
IT/Sec 团队是否应该进行扫描并通知开发人员需要补丁?
是的,但只是作为风险评估。他们应该发现不需要补丁,因为补丁会在规定的时间内主动安装。等待安全团队强迫你打补丁就是成为 Equifax 的方式。