Kendinizin hackleyebileceğiniz bir şeyi serbest bırakmanız gerekir mi?

Bir programın yaratıcısı olarak, güvenlik açıklarının ve potansiyel saldırıların farkında olmak için muhtemelen herkesten daha iyi bir konumdasınız demektir. Yazdığınız bir sistemdeki bir güvenlik açığı biliyorsanız, güvenlik açığının şiddetini belirlemek için sürümden önce güvenliğin artırıldığına dair bir işaret eklenmelidir ZORUNLU mudur, yoksa bu duruma göre değerlendirilmelidir mi?

Her durum için ayrı ayrı yapılması gerektiğini söyleyebilirim. Sen yazarsın, deliklerin çoğunu biliyorsun . Bazı güvenlik açıkları yalnızca sizin tarafınızdan biliniyor olabilir. Tabii ki, bunlardan herhangi biri kullanılırsa, cevaplanması zor sorularınız olabilir, bu nedenle mümkünse bu güvenlik açıklarını azaltmak iyi bir fikir olabilir. Daha önemlisi, birisinin bunu bir kara kutu sistemi olarak kolayca hackleyebilmesidir.

Durumda iki kez olmak talihsiz bir deneyim yaşadım. Her iki durumda da iş, çok hassas verilerle ciddi güvenlik sorunları olan ürünler ortaya koyuyordu .

Her iki durumda da, aldıkları risklerin farkında olmalarını sağlamak için elimden gelen tüm çabalara rağmen, iş umursamadı.

Yapabileceğiniz tek şey mümkün olduğunca yüksek sesle * (ve profesyonelce) protesto etmek, potansiyel sonuçlar hakkında olabildiğince açık olmak ve bu belgeyi yaparken her şeyi yapmaktır . İlgili e-postalarınızı PDF'lere yazdırın ve bu dosyaları evde tutun veya kişisel e-posta adresinizi gizli tutun, ancak siz yapın. Kaçınılmaz olarak kötü bir şey olduğunda tek çözüm budur.

Yönetimin teknik tavsiyeleriniz için size saygı göstereceğini ve bunu dikkate alacağını umuyorsunuz, ancak ne yazık ki, günün sonunda karar vericinin kim olduğuna saygı duymalısınız. Her gün kötü iş kararları verilir.

Düzenleme: jasonk "Lütfen ev adresinizi BCCing çok dikkatli olun" dedi ve ben çok katılıyorum. Lütfen şirket politikasını ihlal etmeyin ve güvenlik açığını halihazırda olduğundan daha fazla açık hale getirme riski.

Bunun tam tersini savunuyorum - yaratıcı olarak, güvenlik açıklarını görmek için genellikle koda çok yakınsınız .

Güvenlik açıklarını biliyorsanız veya size bildirilirse, bunlar başka bir hata gibidir - değerlendirin, öncelik verin ve düzeltin.

Cevabın, sistemin kötü niyetli bir bilgisayar korsanı tarafından ele geçirilmesi durumunda ortaya çıkabilecek zararın derecesine bağlı olduğunu düşünüyorum. Açıkçası bir inşaat mühendisi iyi vicdanla güvensiz bir köprünün tasarımını onaylayamadı. Böyle bir köprünün inşası yaralanma veya ölüme neden olabilir. Mühendisin bunu bilerek yapması da yasadışı olurdu, ancak yazılım mühendislerinin (en azından ABD'de) aynı şekilde yasal olarak bağlı olmamaları, onları hatalı sistemlere karşı durma konusunda profesyonel görevden kurtarmaz. Maalesef, yazılımın yayınlanması için şirketinizin imzanıza ihtiyacı olmayabilir.

Üzerinde çalıştığınız sistemin tam niteliğini belirtmezsiniz. Tıbbi kayıtlar, bankacılık, hava trafik kontrolü veya gerçekten kritik bir diğer altyapı ile ilgili ise, yayınlanmadan önce mümkün olan en yüksek güvenlik düzeyinde ısrar etmekte haklı olduğunuzu söyleyebilirim.

Evet, yayın bitmeden onu düzeltmelisiniz. Bir bilgisayar korsanının yaratıcılığını asla hafife almayın. Arka kapınız tamamen açıkken bir hafta tatile gider misiniz? Senin mazeretin olur mu,

"Ah, arkada ve doğrudan sokağa bakmıyor. Kimse tam açık asılı göremez .."

Muhtemelen değil.

Ancak bu günlerde, en kutsal çıkış tarihinin güvenlikle ilgili potansiyel olarak büyük bir sorumluluk sorunundan daha önemli olduğunu clueless PM ile anlıyorum. Eğer durum buysa, dikkatinizi çekmenizi, sorunu günlüğe kaydetmenizi, iyi belgelendiğinden, iyi bilindiğinden ve risklerin açıkça açıklandığından emin olun ve PM'nin ne yapacağına karar vermesini sağlayın.

Başbakan kötü bir karar alırsa ve bunu görmezden gelmeye karar verirse ve programa göre yayınlanmaya devam ederse, düdüğü patlattığınızdan dolayı sorumluluktan muaf kalırsınız.

Aksi takdirde, bunu bulup kendinize saklarsanız ve bir şey olursa, sonuçlardan SİZİN kişisel olarak sorumlu tutulabilirsiniz.

Seçim senin.