「安全」這個熱詞：應避免使用還是該更直接了當？

思考一下，如何在你的開源項目中真正定義安全性吧。

科技行業以創造「熱詞」而小有名氣，當然，其他行業也是如此。譬如，「故事驅動」和「輕規則」是當下流行的桌游概念，「解構」的漢堡和墨西哥卷餅在高級餐廳頗受歡迎。然而，技術熱詞的問題在於，它們可能直接影響你的生活。當某人標榜應用程序「安全」，以此來吸引你使用他們的產品，產品實際上是在暗示一種承諾：「安全」的含義就是它是安全的，它值得你的使用與信任。但問題是，「安全」這個詞可能指的是許多事情，技術行業常將它用作一個過於泛化的術語，以至於它逐漸失去了實際含義。

由於「安全」一詞可能含義豐富，也可能一無是處，使用它就需要慎之又慎。事實上，最好是盡量避免使用這個詞，取而代之的是，訴諸你真正要表達的東西。

當 「安全」 意味著加密

有時候，「安全」 會被作為 加密 的非常不明確的簡短表述。在這種情況下，「安全」 指的是，對於外部觀察者想要竊聽你的數據，要經過一定的困難。

避免這樣表述：「本網站穩如磐石且安全無憂。」

聽起來很棒？你可能會想像一個擁有多重二次驗證、零知識證明數據存儲以及堅決的匿名策略的網站。

你可以這麼說：「本網站承諾有 99% 的在線時間，並且其流量都通過 SSL 進行加密和驗證。」

這樣一來，承諾的含義變得清晰了，同時也明確了實現 「安全」 的方法（即使用 SSL）以及 「安全「 的作用範圍是什麼。

注意，這裡並未對隱私或匿名做出任何明確的承諾。

當 「安全」 意味著訪問限制

有時，「安全」 這個詞是指應用程序或設備的訪問許可權。如果沒有明確的解釋，「安全」 可能涵蓋從無效的「隱蔽即安全」模式，到簡單的 htaccess 密碼，直到生物識別掃描器等各種概念。

避免這樣表述：「我們已經為你防護好了系統。」

你可以這麼說：「我們的系統採用了二步驗證法。」

當 「安全」 意味著數據存儲

「安全」 這個詞也可以指你的數據在伺服器或設備上的儲存方法。

避免這樣表述：「這個設備在數據存儲上考慮了安全因素。」

你可以這麼說：「這個設備利用全盤加密技術來保護你的數據。」

當提到遠程存儲時，「安全」 可能更多指的是誰可以訪問存儲數據。

避免這樣表述：「你的數據是安全的。」

你可以這麼說：「你的數據經過 PGP 加密，僅你持有私鑰。」

當 「安全」 意味著隱私

今天，「隱私」 一詞幾乎和 「安全」 一樣寬泛且模糊。一方面，「安全」 似乎必然就涉及 「隱私」，然而，這僅在 '安全' 有明確定義時才成立。是因為設有密碼阻止外人進入所以稱之為私有嗎？還是因為數據已加密且僅你擁有密鑰所以歸為私有？又或者，由於存儲你數據的廠商除了 IP 地址外對你一無所知，這才算是私有？光是口頭聲明 「隱私」，就像未經說明就聲明 「安全」 一樣，是不夠的。

避免這樣表述：「你的數據在我們這裡是安全的。」

你可以這麼說：「你的數據經 PGP 加密，且只有你擁有私鑰。我們不需要你的任何個人信息，唯一能識別你的只有你的 IP 地址。」

一些網站會聲明 IP 地址在日誌中保留期限，及非經法律授權絕不向執法部門交出用戶數據等諸多承諾。雖然這些並不屬於技術 「安全」 的範疇，但它們全都涉及的是信任度，你不能將這些看作是技術規格。

明確所說

科技是個複雜的話題，極易引發混淆。溝通是至關重要的，雖然有時候簡拼和專有名詞在某些場合可能管用，但通常來說，講明白總是比較好的。當你對你的項目的 「安全」 感到自豪，不要只用模糊的詞語進行簡述。向其他人明確你具體做了什麼來保護你的用戶，同時也要明確你認為哪些事物已超出你的考量範圍，並要經常進行這樣的溝通。「安全」 是個好特點，但它的涵蓋面過廣，所以請勿畏於誇讚自己在某個具體方向上的特別之處。

（題圖：MJ/b8cc54ee-5556-4106-b9fa-b08539452aa7）

via: https://opensource.com/article/22/9/security-buzzword-alternatives

作者：Seth Kenlon 選題：lkxed 譯者：ChatGPT 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive