TranslateProject/published/202310/20220920 Security buzzwords to avoid and what to say instead.md

87 lines
5.5 KiB
Markdown
Raw Normal View History

[#]: subject: "Security buzzwords to avoid and what to say instead"
[#]: via: "https://opensource.com/article/22/9/security-buzzword-alternatives"
[#]: author: "Seth Kenlon https://opensource.com/users/seth"
[#]: collector: "lkxed"
[#]: translator: "ChatGPT"
[#]: reviewer: "wxy"
[#]: publisher: "wxy"
[#]: url: "https://linux.cn/article-16325-1.html"
2023-10-28 10:02:25 +08:00
“安全”这个热词:应避免使用还是该更直接了当?
======
![][0]
> 思考一下,如何在你的开源项目中真正定义安全性吧。
科技行业以创造“热词”而小有名气,当然,其他行业也是如此。譬如,“故事驱动”和“轻规则”是当下流行的桌游概念,“解构”的汉堡和墨西哥卷饼在高级餐厅颇受欢迎。然而,技术热词的问题在于,它们可能直接影响你的生活。当某人标榜应用程序“安全”,以此来吸引你使用他们的产品,产品实际上是在暗示一种承诺:“安全”的含义就是它是安全的,它值得你的使用与信任。但问题是,“安全”这个词可能指的是许多事情,技术行业常将它用作一个过于泛化的术语,以至于它逐渐失去了实际含义。
由于“安全”一词可能含义丰富,也可能一无是处,使用它就需要慎之又慎。事实上,最好是尽量避免使用这个词,取而代之的是,诉诸你真正要表达的东西。
### 当 “安全” 意味着加密
有时候,“安全” 会被作为 *加密* 的非常不明确的简短表述。在这种情况下,“安全” 指的是,对于外部观察者想要窃听你的数据,要经过一定的困难。
**避免这样表述:**“本网站稳如磐石且安全无忧。”
听起来很棒?你可能会想象一个拥有多重二次验证、零知识证明数据存储以及坚决的匿名策略的网站。
**你可以这么说:**“本网站承诺有 99% 的在线时间,并且其流量都通过 SSL 进行加密和验证。”
这样一来,承诺的含义变得清晰了,同时也明确了实现 “安全” 的方法(即使用 SSL以及 “安全“ 的作用范围是什么。
注意,这里并未对隐私或匿名做出任何明确的承诺。
### 当 “安全” 意味着访问限制
有时,“安全” 这个词是指应用程序或设备的访问权限。如果没有明确的解释,“安全” 可能涵盖从无效的“隐蔽即安全”模式,到简单的 htaccess 密码,直到生物识别扫描器等各种概念。
**避免这样表述:**“我们已经为你防护好了系统。”
**你可以这么说:**“我们的系统采用了二步验证法。”
### 当 “安全” 意味着数据存储
“安全” 这个词也可以指你的数据在服务器或设备上的储存方法。
**避免这样表述:**“这个设备在数据存储上考虑了安全因素。”
**你可以这么说:**“这个设备利用全盘加密技术来保护你的数据。”
当提到远程存储时,“安全” 可能更多指的是谁可以访问存储数据。
**避免这样表述:**“你的数据是安全的。”
**你可以这么说:**“你的数据经过 PGP 加密,仅你持有私钥。”
### 当 “安全” 意味着隐私
今天,“隐私” 一词几乎和 “安全” 一样宽泛且模糊。一方面,“安全” 似乎必然就涉及 “隐私”,然而,这仅在 '安全' 有明确定义时才成立。是因为设有密码阻止外人进入所以称之为私有吗?还是因为数据已加密且仅你拥有密钥所以归为私有?又或者,由于存储你数据的厂商除了 IP 地址外对你一无所知,这才算是私有?光是口头声明 “隐私”,就像未经说明就声明 “安全” 一样,是不够的。
**避免这样表述:**“你的数据在我们这里是安全的。”
**你可以这么说:**“你的数据经 PGP 加密,且只有你拥有私钥。我们不需要你的任何个人信息,唯一能识别你的只有你的 IP 地址。”
一些网站会声明 IP 地址在日志中保留期限,及非经法律授权绝不向执法部门交出用户数据等诸多承诺。虽然这些并不属于技术 “安全” 的范畴,但它们全都涉及的是信任度,你不能将这些看作是技术规格。
### 明确所说
科技是个复杂的话题,极易引发混淆。沟通是至关重要的,虽然有时候简拼和专有名词在某些场合可能管用,但通常来说,讲明白总是比较好的。当你对你的项目的 “安全” 感到自豪,不要只用模糊的词语进行简述。向其他人明确你具体做了什么来保护你的用户,同时也要明确你认为哪些事物已超出你的考量范围,并要经常进行这样的沟通。“安全” 是个好特点,但它的涵盖面过广,所以请勿畏于夸赞自己在某个具体方向上的特别之处。
*题图MJ/b8cc54ee-5556-4106-b9fa-b08539452aa7*
--------------------------------------------------------------------------------
via: https://opensource.com/article/22/9/security-buzzword-alternatives
作者:[Seth Kenlon][a]
选题:[lkxed][b]
译者:[ChatGPT](https://linux.cn/lctt/ChatGPT)
校对:[wxy](https://github.com/wxy)
本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译,[Linux中国](https://linux.cn/) 荣誉推出
[a]: https://opensource.com/users/seth
[b]: https://github.com/lkxed
[1]: https://opensource.com/sites/default/files/lead-images/security-lock-password.jpg
[0]: https://img.linux.net.cn/data/attachment/album/202310/28/095718zso6aaitoyyv4ain.jpg