信息安全“抽象遗忘症”：开发者缺失的底层认知与安全启示

信息安全领域正面临普遍的“抽象遗忘症”，即开发者和项目经理对支撑其工作的底层安全原理缺乏基本认知。作者以自身在InfoSec领域的经验为例，揭示了从物联网设备证书管理到数据加密、身份验证等环节普遍存在的知识断层。例如，有厂商对“证书”一无所知，却声称其HTTPS通信是安全的；更有甚者，将HTTP传输层面的数据加密视为“传输中加密”的解决方案，这与物理学中忽视相对论效应导致GPS失效的案例异曲同工。

此现象根源于现代软件工程高度依赖抽象层，使得开发者能在不理解底层机制（如TLS握手、公钥基础设施）的情况下构建复杂应用。这种“构建高楼却不懂地基”的模式，虽然提升了开发效率，但也埋下了安全隐患。作者呼吁安全从业者从“守门员”转变为“赋能者”，开发者保持好奇心，理解工具背后的原理，领导者则应投资教育，构建重视安全文化的组织。

最终，作者强调，无论是LISP中的优雅递归，还是物理学中的基本定律，抑或是信息安全中的底层原理，皆是构建强大系统的基石。在数字世界中，对这些基本原理的深刻理解，是实现真正安全与效能的关键，如同理解物理定律才能确保GPS的精确运行。

Hacker and Physicist - A Tale of “Common Sense”

Why fundamental digital principles are as invisible (and essential) as the laws of physics.

Supa Safe