2026-01-16 - 以实例从软件工程及网络安全视角评 OWASP Top 10 2025 A06: Insecure Design 及跨域安全人才的不可替代性
笔者之前一篇《没有遵循 Secure by Design 而建的系统,整改就是噩梦》多少有点吐槽意味。时隔2个月后,基本上该系统的安全风险整改已经大部分完成,得以平静下来综合和深入地表达一下自己的观点。
需要前置强调的是,在笔者长达1年多的 Vibe Coding 过程中,各类大模型都频繁地生成带有安全漏洞的代码,除非在生成代码时先明确指出要排除什么风险因素。也就是说,对于缺乏安全风险控制思维的开发者来说,AI 编程必然会产生大量的风险漏洞,这必须敲响警钟。
可以预见,Insecure Design 将会演变为 Insecure AI Design,而专业挖漏洞的朋友估计会赢来事业黄金期。
题图为笔者自行拍摄。
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
一、前言
OWASP Top 10 2025 A06 “Insecure Design”(不安全设计)是软件工程行业与网络安全行业的真正交汇点,却也是双方最容易互相推诿、选择性忽视的“灰色地带”。
最新发表
2026-01-16 以实例从软件工程及网络安全视角评 OWASP Top 10 2025 A06: Insecure Design 及跨域安全人才的不可替代性可以预见,Insecure Design 将会演变为 Insecure AI Design,而专业挖漏洞的朋友估计会赢来事业黄金期。
2025-11-27 CIS Benchmarks 新增 STIG 基准文档 及 202511 更新本次收集 CIS Benchmarks 时发现新增了不少 STIG 基准文档,因此本篇实际是介绍 STIG 和 CIS Benchmarks 的区别和应用。
2025-11-09 没有遵循 Secure by Design 而建的系统,整改就是噩梦整改一个系统后,深深感到 Secure by Design 首先是软件工程问题,其次才是网络安全问题。而网络安全行业应跳出狭义范围,插入到软件工程当中。
2025-03-25 重视篡改和勒索事件情报分析才能有效应对网络威胁在网络安全防守中,关键在于通过有效资源投入使攻击方认为投入大于收益,从而放弃攻击,这要求防守方必须深入了解攻防态势,做好情报分析,真正做到“知己知彼,百战不殆”。
2025-03-05 从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告
2025-02-01 CVE-2024-3661,又可以考验发行版补丁及时性了又有新高危漏洞可以测试操作系统发行版的补丁及时性了。这就是 NetworkManager 高危CVE安全漏洞,CVE-2024-3661,CVSSv3评分7.6。
