คำตอบคือจริง ๆ : ไม่มีคำตอบง่าย ๆ ว่าใช่หรือไม่ใช่ แต่การรักษาความปลอดภัยอย่างน้อยสำคัญสำหรับผู้ใช้ dev ของคุณเช่นเดียวกับคนอื่น
ในอีกด้านหนึ่งใช่ devs มักจะเข้าใจเทคนิคมากขึ้น ในทางกลับกันพวกเขามักจะเป็นงานที่เครียดและเหตุการณ์สำคัญของพวกเขามักจะให้ความสำคัญมากกว่าการดูแลเป็นพิเศษที่จำเป็นเพื่อรักษาระบบของตัวเองในสภาพแวดล้อมที่ปลอดภัยนี่ไม่ใช่คำวิจารณ์ของนักพัฒนา เป็นการพิจารณาอย่างตรงไปตรงมาของหน้าที่ประจำวันของพวกเขา
หากคุณกำลังจะให้ devs เต็มรูปแบบเข้าถึงระบบของพวกเขาอย่างอิสระคุณควรพิจารณามาตรการเพิ่มเติมต่อไปนี้:
- จัดให้มีระบบอื่นล็อคลงได้มากเท่ากับระบบผู้ใช้ทั่วไปที่ถูกล็อคลงสำหรับการใช้งานทั่วไปที่ไม่ใช่ dev
- ใส่เครื่อง dev ที่เข้าถึงได้อย่างเต็มรูปแบบไว้ใน VLAN พิเศษด้วยการเข้าถึงทรัพยากร dev เท่านั้น
- ถามว่ามีอะไรที่จะป้องกันระบบที่ติดไวรัสไม่ให้ทำอันตรายต่อโค๊ดเบส เครื่องแบ็คดอร์จะตรวจสอบรหัสที่เป็นอันตรายหรือลบล้างโค้ดเบสในมือของแฮ็กเกอร์ที่เป็นศัตรูหรือไม่? ทำตามขั้นตอนที่เหมาะสมเพื่อลดความเสี่ยงนี้
- ในทำนองเดียวกันถามว่ามีอะไรปกป้องข้อมูลทางธุรกิจที่จัดขึ้นในระบบที่ devs เข้าถึง
- ทำรายการซอฟต์แวร์อย่างสม่ำเสมอและตรวจสอบความปลอดภัยของระบบ dev
- รับความคิดเกี่ยวกับสิ่งที่พวกเขากำลังทำงานและใช้ข้อมูลนี้เพื่อสร้างภาพการปรับใช้ระบบ dev ของคุณใหม่
- ไม่ช้าก็เร็วคุณจะมีนักพัฒนาที่ไม่ประมาทและติดตั้งสิ่งต่าง ๆ ที่เห็นได้ชัดว่าเป็นอันตรายหรือไม่เกี่ยวข้องกับงาน เมื่อส่งคำเตือนอย่างรวดเร็วเมื่อเกิดเหตุการณ์นี้คุณจะต้องให้ชุมชนผู้พัฒนาทราบว่าใช่มีคนดูอยู่และพวกเขามีความรับผิดชอบที่จะอยู่ในมาตรฐานที่เหมาะสม
- คุณสแกนมัลแวร์เป็นประจำหรือไม่ ในบางกรณีผู้พัฒนาซอฟต์แวร์จะบ่นเกี่ยวกับภาษีประสิทธิภาพที่เรียกเก็บจากระบบ AV ที่เข้าถึงได้ (ระบบ AV ที่เปิดใช้งานอยู่เสมอสแกนทุกครั้งที่เข้าถึงไฟล์) อาจเป็นการดีกว่าที่จะย้ายไปใช้กลยุทธ์การสแกนทุกคืนและ / หรือสร้างการยกเว้นไฟล์ / โฟลเดอร์ไปยังการสแกนที่เข้าถึงของคุณ ตรวจสอบให้แน่ใจว่าสแกนไฟล์ที่ถูกแยกออกแล้วด้วยวิธีอื่น
- devs ที่เปิดใช้งานโดยผู้ดูแลระบบของคุณสามารถปิดการสแกน AV ทั้งหมดได้หรือไม่ คุณจะตรวจจับและแก้ไขสิ่งนี้ได้อย่างไร
หากคุณกำลังจะไปที่ระบบ dev lockdown แล้วคุณควรพิจารณาดังต่อไปนี้:
- คุณมีความสามารถในการสนับสนุนเพื่อตอบคำขอการสนับสนุนอย่างรวดเร็วหรือไม่? พิจารณาอัตราการจ่ายโดยเฉลี่ยของ devs ของคุณและถามว่าพวกเขาสมควรได้รับ SLA เวลาตอบสนองที่เร็วขึ้นหรือไม่ มันอาจจะไม่สมเหตุสมผลที่จะทำให้ $ 120k dev ของคุณ (ซึ่งเป็นกุญแจสู่โครงการมูลค่าหลายล้านดอลลาร์) รออยู่ในขณะที่คุณจัดการกับคำร้องขอการสนับสนุนจากพนักงาน $ 60k / ปี
- คุณมีนโยบายที่ชัดเจนและไม่คลุมเครือเกี่ยวกับคำขอการสนับสนุนใดที่คุณต้องการและจะไม่ให้บริการสำหรับผู้พัฒนาของคุณ หากพวกเขาเริ่มรู้สึกว่าการสนับสนุนเป็นสิ่งที่ไม่แน่นอนคุณจะรู้สึกถึงความเจ็บปวดในที่สุด
ไม่ว่าจะด้วยวิธีใดคุณต้องยอมรับว่านักพัฒนาเป็นกรณีพิเศษและพวกเขาต้องการการสนับสนุนเพิ่มเติมบางประเภท หากคุณไม่ได้ตั้งงบประมาณสำหรับปัญหานี้น่าจะเป็นปัญหาอยู่ในขณะนี้ ... หรือจะเป็นในอนาคต
ในฐานะที่เป็นบันทึกด้านข้างฉันได้เห็นการขัดแย้งที่คล้ายกันเกิดขึ้นกับ sysadmins ในงานที่แตกต่างกันอย่างน้อยสองงานที่ฉันเคยเห็น sysadmins โต้เถียงกันอย่างรุนแรงเมื่อมีคนแนะนำว่าพวกเขาควรจะล็อคระบบหรืออย่างน้อยก็ต้องใช้การล็อกอินสองครั้ง ผู้ดูแลระบบหลายคนรู้สึกว่าพวกเขาไม่ควรถูกขังอยู่ในทางใดทางหนึ่งและเถียงอย่างหนักแน่นต่อมาตรการดังกล่าว ไม่ช้าก็เร็วผู้ดูแลระบบที่ไม่ชอบบางคนจะมีเหตุการณ์ด้านความปลอดภัยและตัวอย่างจะมีผลการศึกษากับเราทุกคน
ฉันเคยเป็นหนึ่งในผู้ดูแลระบบที่วิ่งกับ privs ผู้ดูแลระบบตลอดเวลา เมื่อฉันทำการเปลี่ยนแปลงกับบัญชีคู่และยกระดับเมื่อต้องการเท่านั้นฉันยอมรับว่ามันค่อนข้างน่าผิดหวังในช่วงสองสามเดือนแรก แต่ซับเงินในคลาวด์ก็คือฉันได้เรียนรู้มากขึ้นเกี่ยวกับความปลอดภัยของระบบที่ฉันจัดการเมื่อบัญชีปกติของฉันอยู่ภายใต้ข้อ จำกัด เดียวกันกับที่ฉันวางไว้กับผู้ใช้ มันทำให้ฉันเป็นผู้ดูแลระบบที่ดีกว่า! ฉันสงสัยว่าสิ่งเดียวกันนี้เป็นจริงสำหรับนักพัฒนา และโชคดีในโลกของ Windows ตอนนี้เรามี UAC ซึ่งทำให้ง่ายต่อการใช้งานในฐานะผู้ใช้ที่ จำกัด และยกระดับเมื่อจำเป็นเท่านั้น
โดยส่วนตัวฉันไม่คิดว่าทุกคนควรอยู่เหนือรูปแบบการรักษาความปลอดภัยบางรูปแบบ ทุกคน (sysadmins, devs, ผู้บริหารระดับสูงรวมอยู่ด้วย) ควรได้รับการปฏิบัติตามขั้นตอนการรักษาความปลอดภัยที่เพียงพอ การพูดอย่างอื่นคือการกล่าวว่าระบบและข้อมูลของ บริษัท ไม่คุ้มค่ากับความพยายามในการปกป้อง
ลองอีกวิธีกัน หาก Mark Russinovich สามารถยึดครองโดยรูทคิตทุกคนสามารถทำได้!