從百度看互聯網企業產品安全管理之道

近日，烏雲漏洞平台再次曝出了多款包括百度系APP、口袋理財、萌萌聊天等在內的軟件存在漏洞，稱安卓手機在連接網絡後有被遠程控制的風險。然而，這看似令人“咋舌”的產品漏洞，實則只是業內的常規現象。其實目前市面上存在的APP，都或多或少有些許的漏洞，不然也就不需要產品不斷的完善和更新迭代。當然，一旦出現了漏洞，公司應當迅速對漏洞進行修復和產品升級。百度此次的迅速回應及積極應對措施也為其他廠商處理安全事件提供了學習和借鑑的經驗。

截止到10月30日24點之前，百度系列產品安卓版本已完成新版本上線，用户只需要升級到最新版本即可修復漏洞問題。

漏洞並不可怕，防禦機制很重要

漏洞是被烏雲曝光，而非被黑客們發現，也屬“化險為夷”，將此次事件變成了一次危機防範，同時讓涉事的APP得到提前加固的機會。

比較惱人的是漏洞在被“白帽子”曝光之前被黑客發現，這就讓黑客有機可乘。類似的事件比比皆是：今年3月某著名社交應用紅包曝出的漏洞;十幾天前被曝光的著名支付軟件實名認證漏洞……不過事後大家都及時修補了漏洞，也算是不幸中的萬幸。

互聯網行業中，“白帽子”是一個無害的羣體，很多大型互聯網公司都採取各種獎勵機制，建立應急響應中心，鼓勵“白帽子”主動查找自己產品中存在的漏洞和問題。只要能夠第一時間發現問題所在，及時修復漏洞，即便是別有用心的人想趁此機會造些傷害出來，可能也會撞上銅牆鐵壁。這次烏雲曝光百度App存在漏洞，恰恰説明了防禦機制的作用是多麼重要。

產品漏洞屬正常現象，迅速解決才是王道

可能還有人記得，去年特斯拉因為存在安全漏洞並一舉攻破，一時輿論譁然。這次事件引發了人們對車聯網安全性的擔憂。但實際上，只要及時修復漏洞，升級軟件版本，發現問題了改正就好，大驚小怪倒是真沒必要。

現實世界裏，完美的系統從來不存在，只要系統不是“寫死”的，存在升級、數據交互的條件，就可能會出現漏洞，只不過問題暴露總是或早或晚而已。但由於知名互聯網企業擁有海量用户，一旦暴露漏洞就會受到廣泛關注。

但大型互聯網公司暴露問題的影響也分兩面看，既然不知道上帝會把問題的篩子擲向何方，那就必須時刻做好準備，軟件更新、查找問題源頭、修復漏洞的過程要求產品技術團隊要既快速又準確，在爭分奪秒鬥智鬥勇的過程中，其實非常考驗公司實力，大型互聯網公司更容易從容應對這類事件。

響應速度反映公司實力，百度應急流程值得借鑑

此次百度的漏洞事件中，我們卻並未看到公關過多介入的痕跡，事件曝光兩天的時間裏，我們看到的報道都還是直指問題所在。這也顯示出，這次百度的應對策略堅持了正面面對，並且一直在公佈漏洞修復的進展。

雖然公司越知名，在出現類似的事情時受到的“傷害”越大，但技術越成熟的公司，在應急流程方面自然會更加得心應手。截止到10月30日24點之前，百度全系涉事APP都已經緊急修復了漏洞，完成了新版本的升級上線，廣大用户及時更新軟件即可修復漏洞。再加上此次漏洞只涉及到安卓手機應用，蘋果用户更是無需擔心。可見，從漏洞出現到修復，百度用最短的時間對產品進行了升級，未對用户造成任何的損失。

因此，百度的實力保障了百度出品的APP仍然值得信賴，而無論是百度還是其他互聯網公司的APP出現漏洞實屬正常現象，用户不用過度恐慌，只要等待公司完成對產品的升級，再把產品進行更新即可。