不安全世界中的安全

最近的三篇头条新闻挑战了学生和学校在考试这一非常重要的行为上应有的安全感。虽然这三种情况都没有导致Proctorio用户的数据或隐私泄露，但我想在这里简要讨论一下每一种情况。

首先是Apache Log4j。这是一个基于java的日志工具，开发人员嵌入它来分析网站和应用程序中的性能数据。发现了一个漏洞，使黑客有可能破坏服务器。然而，Proctorio并不以任何方式依赖Log4j，所以这次漏洞没有影响使用我们服务的任何人。我们的夜间扫描仪和WAF规则已经更新，分别扫描和防止这种攻击，以防万一。

第二个大新闻是上个月发生的多起AWS停机事件。亚马逊网络服务为大部分互联网提供了动力。当它们瘫痪时，人们每天依赖的许多网站和应用程序也会瘫痪。很久以前，我们决定Proctorio将把我们的基础设施扩展到AWS的区域中心，还扩展到多个云提供商。这是一个代价高昂的决定，很多人告诉我这个决定过于谨慎，但这是我们8年来做出的最明智的后勤选择。

第三个故事更接近要害，因为它与Proctorio自己的代码中发现的一个漏洞有关。这里是一个简短的时间表。今年夏天的6月17日，一个名为Sector7的组织联系了我们，说他们在我们的代码中发现了一个漏洞。他们以道德黑客的老练团体而闻名，我不得不承认，他们给我留下了深刻的印象。这是他们精心策划的一次复杂的黑客攻击，但成功了。

没有程序员喜欢发现他们的工作容易出错，但这是工作的一部分。事实上，我们已经把它融入了Proctorio的运营中。我们与一个名为HackerOne的组织合作，专门让我们保持警觉和诚实。我们相信我们与有道德的黑客的合作是我们的服务不断改进的原因之一。我们在6月24日(7天之后)的一周内进行了补丁、测试并发布了补丁。Sector7在8月3日承认成功修补了该漏洞。

9月19日，我们向透明化又迈进了一步公开披露我们自己。这需要Sector7批准释放。但他们没有，我们在12月13日联系了他们，并正式结束了此事。与HackerOne和更有道德的黑客社区合作，未来，Proctorio将被允许在我们自己的30天后发布这些实例。更重要的是使用我们的遥测日志和第七区确认他们确实是唯一利用这个漏洞的人。我们可以有把握地说，这个潜在的漏洞不仅被迅速修复，而且没有影响到我们最终用户的安全或隐私。

这是我们保护您数据安全的方式。

很多人都忘了普罗克托里奥最初是一个住宿场所。在教育界，住宿是指大学或机构为有额外需求的学生提供的任何东西，以便他们能尽最大努力参加考试。这可能是一个有阅读障碍的学生被给予额外的时间，也可能是一个自闭症患者需要较少刺激的环境。Proctorio的设计同样是为了将教育的承诺延伸到农村人，这样他们就不用再去镇上了，延伸到需要照顾生病孩子的工作父母，延伸到那些改变行业、白天工作日程排得满满的人。

在最初的5年里，我们在很大程度上避开了聚光灯。我们在一所大学建立了自己的企业。然后一次一个大学系统。然后是一个政府机构。在每一步中，我们都在教育民主化的愿望和保证考试过程安全可靠的现实需要之间取得平衡。我们想说，在我们8年的运营中，我们只降落了8分钟。这是我们营销部门的一个时髦的说法，但这是一个我们非常骄傲的数字。

总是可用的。总是安全的。