开发为什么不多懂点安全呢

不得不说，开发人员的安全水平真是参差不齐，接触的某厂的开发，一部分人真的是太菜了，这其中有毕业一两年的应届生，也有工作时长长短不一的外包。

我在给开发提安全工单的时候，尽量做到完整详细地写清楚复现步骤，并解释清楚漏洞的原理，有的可能话也会附上利用漏洞利用相关信息。然而经常会碰到下面的现象：

1. 不看工单详情，上来就问怎么修复
2. 不懂也不知道 Google，上来就问某某类型的漏洞是什么意思
3. 完全没有复现过漏洞，修完了问我行不行，但凡自己复现一下都知道不行
4. 指哪修哪，不从根因解决问题，不知道举一反三不会 Variant Analysis
5. 修复不彻底，看似 OK，实际上还可以 Bypass
6. ……

遇到积极主动的，我愿意给他答疑解惑，并提供额外的帮助。遇到不懂事的小兄弟，我只能完成我的义务工作，再给他点点方向，要我给他们当保姆就别多想了。

当然，要是给大厂交漏洞拿 Bounty，对于这类不懂安全的开发，我感谢他们都来不及。但对于公司内部，一类问题反复提也没啥意思，不会给我带来多少成就感。

我只希望某厂能在流程上做一些约束：

1. 开发修完漏洞，不要来问安全行不行，安全要是觉得不行，自然会给你重新提单
2. 写出漏洞得受惩罚，得有责任人，安全多提一单开发就多痛一次

只有这样，开发才有动力去学习安全知识，才能提高代码质量，安全挖洞也才更有挑战。安全左移不能光靠工具和流程，人才是最重要的一环。