Spesifikasyon kusurlu ise, hala izlenmeli mi?

İşverenimden birinin başvurusuyla müşterimiz tarafından geliştirilen harici bir sisteme entegrasyon geliştirme görevini yaptım. Müşterimizin güvenlikle ilgili bazı açık kusurları bulunan entegrasyon için şartnamesi. Hatalar, kısıtlı verileri görmesi için yetkisiz bir kullanıcının sisteme erişmesine izin verir.

Kusurları ve olası güvenlik risklerini, tasarlandıkları gibi uygulanmışlarsa ve hatasız bir alternatif sunmuşlarsa belirtmiştim, ancak (kısaca) müşteriye "belirttiğimiz gibi yap" demiştim.

Bir programcının bilinen güvenlik riskleri içeren kodu uygulamama konusunda etik bir sorumluluğu var mı? Bir müşterinin gereksinimleri hangi noktada güvenli uygulamalar oluşturmak için yazılım geliştiriciler olarak sahip olduğumuz etik sorumluluğu ağır basar?

— Nick Orlando
kaynak

Riskleri belirttiniz, ancak bu risklerin faaliyetlerinin bir yönüne olan etkilerini ve (muhtemelen daha da önemlisi) etkilerini belirttiniz mi? Müşterinin riskleri tam olarak anladığından ve bu konuda belgeler bulunduğundan emin misiniz?

— Thomas Owens

Son zamanlarda bazı işlerimde bunu kafamın içine atıyordum. Aynı karşılaştırmayı, köprüde, sinir bozucu, engelleyici desteklere sahip olmayan ya da sadece iki arabanın ağırlığını taşıyabilecek bir köprü inşa etmeyi istediği bir köprü yapmasıyla yaparsak, o zaman itibarı uğruna, Muhtemelen sadece reddeder. Bir mühendis / kişinin reddetme görevi olduğu zaman bir noktaya gelmesi gerektiğini düşünüyorum. Kabul edilirse, tasarım şikayetlerinin büyük çoğunluğu insanlarda yaralanma / ölüm riskine yaklaşmamaktadır.

— Katana314,

@ Katana314 Mevcut senaryomda kesinlikle fiziksel yaralanma veya ölüm riski yoktur. Bunun cevaplanması kesinlikle daha kolay ... Ama kafasındaki tırnağa çarptın, sanırım. Ek araştırmalar beni ACM'nin Etik Kuralları'na yönlendirdi ;

— Nick Orlando,

@YazılımDev Fuarı yeterince adil, ancak yalnızca insan risklerinin farkettiğimizden daha derin olabileceğini de ekleyeceğim. Bir bilgisayar korsanının insanların bilgilerini kolayca almalarını ve kimliklerini çalmalarını sağlayan ve daha sonra intihar etmeleri için evsiz bırakan bir güvenlik riski; Bir takipçinin, bir kadının bir restoranda buluşma konusundaki özel iletişimini kesmesini, ardından fiziksel olarak takip etmesini ve tutmasını sağlayan bir sosyal ağ hatası; Bunu yaratıcı bir şekilde düşünmek biraz sakıncalıdır, ancak bazen projelerimize ne kadar ulaşabileceğimizi unutabiliriz.

— Katana314,

@gnat Gerçekten bir yineleme değil. Bağlantılı soru, yazılım etiğine genel yaklaşımla ilgilidir, bu da OP'nin 'artık benim sorunum değil' demeden önce ne kadar mücadele etmesi gerektiğini soruyor.

— Rath

Sanırım sorunu işaret edip bir alternatif önererek rolünüzü yaptınız. Onları belirli bir risk seviyesine maruz bırakan şeyleri yapmakta ısrar ediyorlarsa, ilgili riskleri bilerek açıkça talep ettiklerini gösteren bir kağıt izi (ve yedeklerini) aldığınızdan emin olmalısınız. Eğer gerçektenendişelendiklerinde, istediklerini yapmaktan memnuniyet duyacağınızı, ilk önce sizden istedikleriyle ilgili riskleri kabul ettikleri bir tür yasal belge / feragatname imzalarlarsa (ve elbette bir avukat bulmanız) böyle bir belge taslağını hazırlamak için). Şahsen bu durum için böyle bir belge için bir emsal bilmiyorum ama bu konuda size yardımcı olacak bir avukat bulabileceğinizden eminim. Şirketinizin bir yasal departmanı varsa, şirket sorumluluğu potansiyeli varsa, birlikte çalışması gereken bir şey olabilir. Ve elbette, eğer bu kadar ciddiyse bunu yöneticinizle de tartışmalısınız.

Sanırım işi yapmayı reddetmenin doğru olabileceği tek durum, bunun sizin endişelendiğiniz hatanın sistemin ortaya çıkabileceği şekilde tehlikeye girmesine yol açabileceği bir sistem için geçerli olması olabilir. çok büyük olasılıkla can kaybı / ciddi yaralanma veya bir çeşit yıkıcı mal kaybı.

— FrustratedWithFormsDesigner
kaynak

Ya da kişisel sorumluluk ... yani sizi kovar ya da daha kötüye

— götürürse

Müşterinin veya işverenin OP'ye dokunulmazlık davası uygulayacağını işaret eden herhangi bir belge yoktur. İstihdamının niteliğine bağlı olarak, şirket ile olan bir acente ilişkisinin tanımlanması ve korunması altına alınabilir, bir sorumluluk kalkanı sağlayabilir, ancak böyle bir kalkanın olmaması durumunda, "sadece emirleri takip ediyordum" bir savunma değildir. ne kadar iyi belgelendiği önemli değil. Davacı / kovuşturma basitçe "sadece istifa edebilirdin; başkası yapmış olsa bile, şu an senin başına gelecekti" diyebilir.

— KeithS

Şirketin yapabileceği en iyi şey, OP'nin mahkeme ve yasal masraflar dahil olmak üzere mali sorumluluğunun teminat altına alınmasıdır. Bir yasa çıkardığı ortaya çıkarsa, şirket onun için hapse giremez.

— KeithS

@BazzPsychoNut: OP, riskleri belirlemeye ve açıklamaya çalışmış gibi görünüyor ve göz ardı ediliyor. Onlar sadece işi yapmak için reddetme isteksiz / yapamıyorsanız, ben düşündüklerini gerekir mümkün olduğunca onları koruman ve onlar gerektiğini de kim Sanıyorum onlara durum için daha özel tavsiyeler verecek (avukat ile istişare, hem de söyle onları kıçlarını örtmek için).

— FrustratedWithFormsDesigner

Kağıt izi için +1 ekleyin ve konuşlandırmaya katılıyorsanız dikkatli olun. Gelmesi pek mümkün olmamakla birlikte, kişisel verilerin ihmal edilmesinin ciddi bir şekilde suçlanabileceği anlamına gelen (örneğin İngiltere'deki Veri Koruma Yasası) birçok yasa vardır.

— Matt,