Czy kiedykolwiek powinieneś wypuścić coś, co sam możesz zhakować?

Będąc twórcą programu, prawdopodobnie jesteś w lepszej sytuacji niż ktokolwiek inny, aby mieć świadomość luk w zabezpieczeniach i potencjalnych włamań. Jeśli znasz lukę w systemie, który napisałeś, czy jest to znak, że MUSI być dodane zwiększone bezpieczeństwo przed wydaniem, czy też należy to oceniać indywidualnie dla każdego przypadku, aby określić wagę luki w zabezpieczeniach?

Powiedziałbym, że należy to zrobić indywidualnie dla każdego przypadku. Jesteś autorem, znasz wiele dziur. Niektóre luki mogą być znane tylko Tobie. Oczywiście oznacza to, że jeśli którykolwiek z nich zostanie wykorzystany, możesz mieć trudne pytania, więc jeśli to możliwe, dobrym pomysłem jest ograniczenie tych luk. Ważniejsze jest to, czy ktoś może łatwo zhakować go jako system blackbox.

Miałem niefortunne doświadczenie podwójnej sytuacji. W obu przypadkach firma wystawiała produkty z poważnymi problemami bezpieczeństwa z bardzo wrażliwymi danymi.

W obu przypadkach firma wydawała się nie przejmować, pomimo moich najlepszych starań, aby uświadomić im, jakie ryzyko podejmują.

Jedyne, co możesz zrobić, to protestować tak głośno * (i profesjonalnie), jak to możliwe, jak najdokładniej o potencjalnych konsekwencjach i podczas gdy robisz ten dokument, wszystko . Wydrukuj odpowiednie wiadomości e-mail w formacie PDF i zachowaj te pliki w domu, lub ukryj swój osobisty adres e-mail lub w inny sposób. Jest to jedyne rozwiązanie, gdy nieuchronnie dzieje się coś złego.

Miałbyś nadzieję, że kierownictwo uszanuje cię za twoją poradę techniczną i weź to pod uwagę, ale niestety musisz szanować każdego, kto podejmie decyzję pod koniec dnia. Każdego dnia podejmowane są złe decyzje biznesowe.

Edycja: jasonk wspomniał „Proszę zachować ostrożność przy BCC ustalaniu adresu domowego” i bardzo się zgadzam. Nie naruszaj zasad firmy i ryzykuj, że luka w zabezpieczeniach będzie bardziej widoczna niż jest obecnie.

Byłbym przeciwny - będąc twórcą, często jesteś zbyt blisko kodu, aby zobaczyć luki w zabezpieczeniach.

Jeśli znasz luki w zabezpieczeniach lub są ci mówione, są one jak każdy inny błąd - oceniaj, ustalaj priorytety, a następnie napraw.

Myślę, że odpowiedź zależy od stopnia szkód, które wystąpiłyby, gdyby zainfekowany system został zainfekowany przez złośliwego hakera. Oczywiście inżynier budownictwa nie mógł z czystym sumieniem zatwierdzić projektu niebezpiecznego mostu. Budowa takiego mostu może spowodować obrażenia lub śmierć. Byłoby to nielegalne, gdyby inżynier świadomie to robił, ale fakt, że inżynierowie oprogramowania (przynajmniej w USA) nie są prawnie związani w ten sam sposób, nie zwalnia ich z profesjonalnego obowiązku przeciwstawienia się wadliwym systemom. Niestety Twoja firma może nie potrzebować Twojego podpisu do wydania oprogramowania.

Nie określasz dokładnej natury systemu, nad którym pracujesz. Jeśli jest to związane z dokumentacją medyczną, bankowością, kontrolą ruchu lotniczego lub inną naprawdę istotną infrastrukturą, powiedziałbym, że należałoby uzasadnić naleganie na najwyższy możliwy poziom bezpieczeństwa przed wydaniem.

Tak, powinieneś to naprawić przed wydaniem wersji. Nigdy nie lekceważ pomysłowości hakera. Czy pojechałbyś na tydzień na wakacje z szeroko otwartymi tylnymi drzwiami? Czy twoją wymówką byłoby

„Och, jest z tyłu i nie wychodzi bezpośrednio na ulicę. Nikt nie widziałby, żeby była szeroko otwarta…”

Prawdopodobnie nie.

Ale dzisiaj rozumiem u premiera, że ​​najświętsza data premiery jest ważniejsza niż potencjalnie ogromny problem z bezpieczeństwem. Jeśli tak jest w twoim przypadku, sugeruję zwrócenie na to uwagi, zarejestrowanie problemu, upewnienie się, że jest dobrze udokumentowane, dobrze znane, a ryzyko jasno wyjaśnione, i niech premier zdecyduje, co robić.

Jeśli premier podejmie złą decyzję i zdecyduje się zignorować to i pójdzie dalej zgodnie z harmonogramem, to jesteś zwolniony z odpowiedzialności, ponieważ dmuchnąłeś w gwizdek.

W przeciwnym razie, jeśli znajdziesz to i zatrzymasz dla siebie, a coś się stanie, wówczas możesz osobiście ponosić odpowiedzialność za konsekwencje.

Wybór nalezy do ciebie.