Как крупная компания допускает ошибки новичков, которые оставляют дыры в безопасности? [закрыто]

Sony недавно была взломана с помощью SQL-инъекции, и пароли их пользователей были сохранены в виде простого текста. Это ошибки новичка. В такой крупной компании, как это проходит QA? Как у них нет лучших команд, чем знать лучше, чем это?

Огромный размер взломанной компании отличает это. Это затрагивает всех нас, потому что мы все можем однажды оказаться в команде, ответственной за что-то подобное, и тогда мы получим топор. Итак, каковы факторы, которые приводят к этому, и как мы можем предотвратить их?

Первое, что приходит на ум, это то, что они достаточно велики, чтобы вырастить несколько слоев бюрократии. Это означает, среди прочего, что у вас больше нет действительно умных программистов, отвечающих за процесс найма, а это означает, что они теряют способность отсеивать потенциальных программистов и некомпетентных специалистов по обеспечению качества. Что приводит к написанию плохого кода и его внедрению в производство, и мы все знаем, что будет дальше ...

Потому что программистам не сказали проверять это, а разрушительная корпоративная культура не давала им достаточно возможностей, чтобы их чувство профессиональной этики заработало и потребовало еще пару недель для проверки на уязвимости безопасности. Или настаивать на том, чтобы они были в безопасности с самого начала.

Потому что босс не хотел тратить пару лишних недель на тестирование проблем безопасности по любой причине. Дополнительный бонус в конце года. Появляется Джонсон из следующего отдела. Хвастовство прав. Обязанность перед компанией. Лень. Недоверие к советам подчиненных.

Потому что большой босс потребовал больше прибыли и продвинул Джонсона, а не Боба, потому что его цифры выглядели лучше, чем требовали лучшего продукта. Потому что качество и безопасность сложно отображать в электронной таблице. Потому что корпорации существуют, чтобы зарабатывать деньги.

Такие вещи являются систематической проблемой. Это сводится к «потому что они дураки».

Редакторы Программисты могут не быть жертвенным козлом, заметив недостаток, доведя проблему до своего босса. Он либо сделает правильную вещь и составит план, чтобы исправить это, либо скажет вам игнорировать это. Если он не исправит это, сделайте это официальным, спросите об этом по электронной почте. Используйте ключевые слова, имеющие отношение к проблеме, такие как «уязвимость», «внедрение», «нарушение безопасности» в этом случае. Вещи, что поиск по электронной почте будет забрать.

Это проходит мимо. Теперь это ваша ответственность боссов. Если это важно, например, когда люди умрут, когда эта штука потерпит неудачу, пройдите через его голову и доведите вопрос до своего босса. Вы можете быть уволены за то, что просто сдали доллар, и вы все равно можете быть уволены, даже если передадите его, но это правильно. Не совсем так, как на самом деле решение проблемы, но близко.

Чем крупнее корпорация, тем дальше лица, принимающие решения, от любой реальной ответственности.

Зная, как работают корпорации, дизайн сайта, вероятно, был отдан на аутсорсинг какой-то консалтинговой компании, выбранной на основе самой низкой цены на разработчика. Эта компания, в свою очередь, будет нанимать группу случайных людей по схожим критериям, при этом обычный человек останется в проекте не более 3 месяцев, прежде чем его переведут на что-то другое.

Как кто-то делает ошибки? Из-за лени, недостатка знаний, недостатка опыта, целесообразности, отсутствия процесса и т. Д. Как мы можем предотвратить ошибки? Благодаря усердию, опыту, гарантиям и т. Д. Эта ситуация категорически не отличается от тысяч мелких ошибок, допущенных каждым программистом; это только отличается по масштабу.

Что мы можем извлечь из этого? Немного.

Одним из возможных объяснений является перекошенный список приоритетов. Многие компании, с которыми я работал, придают большее значение продвижению продукта на рынок, а не качеству продукта / кода, который они производили. Этот эффект удваивается, потому что программисты не только стремятся к завершению, но и отдел QA (если они вообще есть). Я также заметил, что это отношение совпадает с переходом к следующему продукту до того, как предыдущий был завершен, что еще больше усугубляет проблему.

Одним общим знаменателем в каждой из этих компаний был нетехнический менеджмент. Менеджеры проектов, ИТ-менеджеры и менеджеры по продуктам, в основном все, кто имеет мнение о том, над чем работает команда разработчиков, не являются техническими специалистами и не понимают важность создания высококачественного, безопасного кода. Это то, что я ищу, когда беру интервью у компаний сейчас. Кто владеет правлением в приюте, заключенные или врачи?

Я не удивлюсь, если что-то подобное, усугубляемое глубокой бюрократией, будет способствовать возникновению Sony и других проблем безопасности компании.

Люди работают в больших компаниях, и люди будут делать ошибки из-за невежества, лени, плохих процедур, плохой документации и т. Д. Размер компании будет влиять только на ошибки, так как может быть больше источников ошибок или ошибок.