หากสเป็คมีข้อบกพร่องมันควรจะยังคงปฏิบัติตาม?


28

ฉันได้รับมอบหมายให้พัฒนาการรวมเข้ากับหนึ่งในแอปพลิเคชันของนายจ้างกับระบบภายนอกที่ลูกค้าของเราพัฒนาขึ้น ข้อกำหนดของลูกค้าของเราสำหรับการรวมที่มีข้อบกพร่องที่เห็นได้ชัดบางอย่างที่เกี่ยวข้องกับความปลอดภัย ข้อบกพร่องจะอนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงระบบเพื่อดูข้อมูลที่ถูก จำกัด

ฉันได้ชี้ให้เห็นข้อบกพร่องและความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นหากมีการใช้งานตามที่ออกแบบไว้และให้ทางเลือกอื่นโดยไม่มีข้อบกพร่อง แต่มีการบอกว่า "ทำตามที่เราระบุ" โดยลูกค้า

โปรแกรมเมอร์มีความรับผิดชอบด้านจริยธรรมหรือไม่ที่จะติดตั้งรหัสด้วยความเสี่ยงด้านความปลอดภัยที่รู้จักหรือไม่? ความต้องการของลูกค้าในจุดใดที่เกินความรับผิดชอบด้านจริยธรรมที่เรามีในฐานะนักพัฒนาซอฟต์แวร์เพื่อสร้างแอปพลิเคชันที่ปลอดภัย?


9
คุณได้ชี้ให้เห็นความเสี่ยง แต่คุณได้ชี้ให้เห็นถึงโอกาสและ (อาจสำคัญกว่า) ผลกระทบของความเสี่ยงเหล่านี้ต่อการดำเนินงานของพวกเขาบ้างไหม? คุณแน่ใจหรือไม่ว่าลูกค้าเข้าใจความเสี่ยงและมีเอกสารประกอบที่มีผลกระทบนั้น
โธมัสโอเวนส์

7
เมื่อเร็ว ๆ นี้ฉันได้โยนมันไปในหัวของฉันในการทำงานของฉัน หากเราทำการเปรียบเทียบแบบเดียวกันกับผู้สร้างสะพานซึ่งเขาขอให้สร้างสะพานที่ไม่มีการสนับสนุนที่น่ารำคาญกีดขวางอยู่ข้างใต้หรือเพียงแค่รับน้ำหนักของรถสองคันเท่านั้นเพราะชื่อเสียงของเขาเขา มีแนวโน้มที่จะปฏิเสธ ฉันคิดว่าจะต้องมีประเด็นจริงๆเมื่อเป็นหน้าที่ของวิศวกร / บุคคลที่จะปฏิเสธ จริงอยู่ที่ข้อร้องเรียนการออกแบบส่วนใหญ่ไม่ได้เข้าใกล้ความเสี่ยงต่อการบาดเจ็บ / เสียชีวิตของมนุษย์
Katana314

2
@ Katana314 ไม่มีความเสี่ยงต่อการบาดเจ็บหรือเสียชีวิตจากสถานการณ์ปัจจุบันของฉัน ฉันคิดว่ามันง่ายกว่าที่จะตอบ ... แต่คุณก็ตอกตะปูลงบนหัวฉันคิดว่า การค้นหาเพิ่มเติมนำฉันไปสู่จรรยาบรรณของ ACM ซึ่งดูเหมือนจะตอกย้ำความรับผิดชอบของเราในการระบุและทำให้ทราบถึงปัญหาที่คาดการณ์ได้
นิคออร์แลนโด

3
@TheSoftwareDev ยุติธรรมเพียงพอ แต่ฉันจะเพิ่มว่าบางครั้งความเสี่ยงของมนุษย์อาจจะลึกกว่าที่เรารู้ ความเสี่ยงด้านความปลอดภัยทำให้แฮ็กเกอร์นำข้อมูลของผู้คนและขโมยข้อมูลส่วนตัวของพวกเขาได้อย่างง่ายดายทำให้พวกเขาไม่มีที่อยู่อาศัยเพื่อฆ่าตัวตายในภายหลัง ข้อบกพร่องของเครือข่ายโซเชียลที่ทำให้ผู้แอบอ้างสกัดกั้นการสื่อสารส่วนตัวของผู้หญิงเกี่ยวกับการพบปะกันที่ร้านอาหารจากนั้นติดตามร่างกายและดักจับเธอ มันค่อนข้างผิดปกติที่จะคิดว่าสร้างสรรค์ แต่บางครั้งเราอาจลืมว่าโครงการของเราอาจใช้งานไปไกลแค่ไหน
Katana314

1
@gnat ไม่ซ้ำกันจริงๆ คำถามที่เชื่อมโยงเป็นเรื่องเกี่ยวกับแนวทางทั่วไปในการใช้จรรยาบรรณซอฟต์แวร์คำถามนี้ถามว่าการต่อสู้ OP ควรจะเกิดขึ้นก่อนที่จะพูดว่า 'ไม่ใช่ปัญหาของฉันอีกต่อไป'
rath

คำตอบ:


40

ฉันคิดว่าคุณได้ทำส่วนของคุณโดยชี้ปัญหาและเสนอทางเลือกอื่น หากพวกเขายืนยันว่าคุณทำสิ่งต่าง ๆ ที่มีความเสี่ยงในระดับหนึ่งคุณควรตรวจสอบให้แน่ใจว่าคุณมีทางเดินกระดาษ (และสำรองข้อมูล) ที่แสดงว่าพวกเขาร้องขออย่างชัดเจนโดยรู้ถึงความเสี่ยงที่เกี่ยวข้อง ถ้าคุณเป็นจริงคุณสามารถบอกพวกเขาได้ว่าคุณยินดีที่จะทำในสิ่งที่พวกเขาต้องการหากพวกเขาลงนามในเอกสารทางกฎหมาย / ข้อจำกัดความรับผิดชอบที่พวกเขารับทราบถึงความเสี่ยงที่เกี่ยวข้องกับสิ่งที่พวกเขาขอให้คุณทำ เพื่อร่างเอกสารดังกล่าว) โดยส่วนตัวฉันไม่รู้เกี่ยวกับแบบอย่างของเอกสารดังกล่าวสำหรับสถานการณ์นี้ แต่ฉันแน่ใจว่าคุณสามารถหาทนายความเพื่อช่วยคุณได้ หาก บริษัท ของคุณมีแผนกกฎหมายอาจเป็นสิ่งที่พวกเขาควรมีส่วนร่วมหากมีแนวโน้มที่จะเกิดความรับผิดต่อ บริษัท และแน่นอนหากเป็นเรื่องร้ายแรงคุณควรปรึกษาเรื่องนี้กับผู้จัดการของคุณเช่นกัน

ฉันคิดว่าสถานการณ์เดียวที่มันอาจจะโอเคที่จะปฏิเสธที่จะทำงานถ้าเป็นซอฟต์แวร์สำหรับระบบที่ข้อบกพร่องที่คุณกังวลอาจนำไปสู่ระบบที่ถูกบุกรุกในลักษณะที่อาจส่งผลให้ ในการสูญเสียชีวิต / การบาดเจ็บสาหัสหรือการสูญเสียทรัพย์สินบางประเภท


4
หรือความรับผิดส่วนบุคคล ... เช่นถ้ามันจะทำให้คุณโดนไล่ออกหรือแย่กว่านั้น
Dan Pichelman

5
ไม่มีเอกสารใดที่ลูกค้าหรือนายจ้างสามารถเซ็นรับรองได้ว่าจะให้ภูมิคุ้มกันอิสระจากคดีแพ่ง เขาอาจขึ้นอยู่กับลักษณะของการจ้างงานของเขาตกอยู่ภายใต้คำจำกัดความและการปกป้องความสัมพันธ์ของหน่วยงานกับ บริษัท ของเขาหากโล่คุ้มครอง แต่ในกรณีที่ไม่มีโล่ดังกล่าว "ฉันเพียงทำตามคำสั่ง" ไม่ใช่การป้องกัน เอกสารดีแค่ไหน โจทก์ / โจทก์สามารถพูดว่า "คุณสามารถเลิกได้แม้ว่าคนอื่นจะทำมันก็จะอยู่ในหัวของพวกเขาตอนนี้ไม่ใช่ของคุณ"
KeithS

2
สิ่งที่ดีที่สุดที่ บริษัท ทำได้คือรับประกันความครอบคลุมของหนี้สินทางการเงินของ OP รวมถึงค่าใช้จ่ายทางศาลและทางกฎหมาย บริษัท ไม่สามารถเข้าคุกได้หากปรากฏว่าเขาทำผิดกฎหมาย
KeithS

1
@BazzPsychoNut: ดูเหมือนว่า OP ได้พยายามที่จะชี้ให้เห็นความเสี่ยงและอธิบายพวกเขาและกำลังถูกเพิกเฉย หากพวกเขาไม่สามารถ / ไม่เต็มใจที่จะก็ปฏิเสธที่จะทำผลงานที่ผมคิดว่าพวกเขาจะต้องครอบคลุมตูดของพวกเขามากที่สุดเท่าที่เป็นไปได้และพวกเขาควรจะยังให้คำปรึกษากับทนายความ (ที่ฉันสงสัยว่าจะให้คำแนะนำที่เฉพาะเจาะจงมากขึ้นสำหรับสถานการณ์และยังบอก เพื่อปกปิดตูด)
FrustratedWithFormsDesigner

1
+1 สำหรับทางเดินกระดาษและระวังถ้าคุณมีส่วนเกี่ยวข้องในการปรับใช้ ในขณะที่ไม่น่าเป็นไปได้ แต่มีกฎหมายจำนวนมาก (ตัวอย่างเช่นพระราชบัญญัติการปกป้องข้อมูลในสหราชอาณาจักร) ซึ่งหมายถึงการจัดการข้อมูลส่วนบุคคลโดยประมาทอาจกลายเป็นความผิดร้ายแรงได้
Matt
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.