資安很嚴的公司都不能用 Python 嗎?
國立清華大學
最近我們公司在資安防護這塊變得非常徹底,連 Python 都被列入管制名單。
因為工作需求,我想安裝不同版本的 Python,結果申請的時候被主管擋下,理由是:「這是免費工具,沒有專業廠商背書,可能含有惡意程式碼或安全漏洞,請改用付費的開發工具。」
我有點驚訝,畢竟 Python 算是目前全球最主流的語言之一吧?也有很多知名公司、機構都在用。這讓我蠻好奇,在資安控管比較嚴格的公司,真的都不使用 Python、Linux 這種開源工具嗎?還是你們有什麼做法可以通過審查?
我知道開源軟體的好處是大家可以共同審查、發現漏洞修補比較快,但不確定這樣的機制在資安部門眼中是不是就等於「安全」?
有沒有人也有類似經驗?你們是怎麼說服主管或資安單位放行的?
