บริษัท ใหญ่ ๆ ทำผิดพลาดใหม่ ๆ ได้อย่างไรซึ่งทำให้เกิดช่องโหว่ด้านความปลอดภัย? [ปิด]

Sony เพิ่งถูกแฮ็กด้วยการฉีด SQL และรหัสผ่านของผู้ใช้ของพวกเขาถูกเก็บไว้ในรูปแบบข้อความล้วน นี่เป็นความผิดพลาดหน้าใหม่ ใน บริษัท ขนาดใหญ่เช่นนี้จะผ่าน QA ได้อย่างไร พวกเขาไม่มีทีมที่ดีกว่ารู้ดีกว่านี้ได้อย่างไร

ขนาดที่แท้จริงของ บริษัท ที่ถูกแฮ็กทำให้สิ่งนี้แตกต่าง มันมีผลกระทบต่อพวกเราทุกคนเพราะวันหนึ่งเราอาจพบว่าตัวเองอยู่ในทีมที่มีหน้าที่รับผิดชอบอะไรเช่นนี้และจากนั้นเราก็ได้ขวาน แล้วอะไรคือปัจจัยที่นำไปสู่สิ่งนี้และเราจะป้องกันได้อย่างไร

สิ่งแรกที่ควรคำนึงถึงก็คือเพราะพวกมันมีขนาดใหญ่พอที่จะพัฒนาระบบราชการสองสามชั้น สิ่งนี้หมายความว่าคุณไม่มีตัวแปลงสัญญาณอัจฉริยะที่รับผิดชอบกระบวนการจ้างงานอีกต่อไปซึ่งหมายความว่าพวกเขาสูญเสียความสามารถในการแยกแยะโปรแกรมเมอร์ที่มีศักยภาพและคน QA ที่ไร้ความสามารถ ซึ่งนำไปสู่การเขียนโค้ดที่ไม่ดีและทำให้เป็นผลิตผลและเราทุกคนรู้ว่าเกิดอะไรขึ้นต่อไป ...

เนื่องจากโปรแกรมเมอร์ไม่ได้ถูกบอกให้ทดสอบสิ่งนั้นและวัฒนธรรมองค์กรที่ล้มเหลวไม่ได้ทำให้พวกเขามีเวลาเพียงพอที่จะมีความรู้สึกถึงความเป็นมืออาชีพด้านจริยธรรมและเรียกร้องให้อีกสองสามสัปดาห์เพื่อทดสอบหาช่องโหว่ด้านความปลอดภัย หรือเพื่อยืนยันว่าพวกเขาปลอดภัยจากจุดเริ่มต้น

เพราะเจ้านายไม่ต้องการใช้เวลาสองสามสัปดาห์ในการทดสอบเรื่องความปลอดภัยสำหรับ ... ไม่ว่าจะด้วยเหตุผลใด โบนัสพิเศษเมื่อสิ้นปี แสดง Johnson จากแผนกถัดไป สิทธิ์ในการโม้ หน้าที่ต่อ บริษัท ความเกียจคร้าน ไม่ไว้วางใจคำแนะนำของลูกน้อง

เพราะหัวหน้าใหญ่ต้องการกำไรมากขึ้นและเลื่อนตำแหน่งจอห์นสันให้กับบ็อบเพราะตัวเลขของเขาดูดีกว่าเมื่อเทียบกับความต้องการผลิตภัณฑ์ที่ดีกว่า เนื่องจากคุณภาพและความปลอดภัยเป็นค่าที่ยากต่อการแสดงบนสเปรดชีต เพราะ บริษัท มีอยู่ให้ทำเงิน

สิ่งนี้เป็นปัญหาที่เป็นระบบ มันเดือดลงไปที่ "เพราะพวกเขาโง่"

แก้ไข โปรแกรมเมอร์สามารถหลีกเลี่ยงการเป็นแพะที่เสียสละโดยเมื่อสังเกตเห็นข้อบกพร่องนำปัญหาไปยังเจ้านายของพวกเขา เขาจะทำสิ่งที่ถูกต้องและวางแผนที่จะแก้ไขหรือบอกให้คุณเพิกเฉย หากเขาไม่แก้ไขให้ตั้งเป็นทางการถามเกี่ยวกับมันในอีเมล ใช้คำหลักที่เกี่ยวข้องกับปัญหาเช่น "ช่องโหว่", "การฉีด", "การละเมิดความปลอดภัย" ในกรณีนี้ สิ่งที่การค้นหาอีเมลจะหยิบขึ้นมา

นี่คือการผ่านเจ้าชู้ ตอนนี้มันเป็นความรับผิดชอบของหัวหน้าคุณ หากเป็นสิ่งสำคัญเช่นคนกำลังจะตายเมื่อสิ่งนี้ล้มเหลวให้ไปที่หัวของเขาและนำเรื่องนี้ไปให้เจ้านายของเขา คุณสามารถโดนไล่ออกเพียงแค่ผ่านเจ้าชู้และคุณยังสามารถโดนไล่ออกได้แม้ว่าคุณจะผ่านมันไป แต่มันก็เป็นสิ่งที่ถูกต้อง ไม่ถูกต้องเหมือนแก้ไขปัญหาจริง แต่ปิด

บริษัท ที่ใหญ่กว่าและไกลกว่าผู้มีอำนาจตัดสินใจมาจากความรับผิดชอบในชีวิตจริงใด ๆ

รู้ว่า บริษัท ทำงานอย่างไรการออกแบบเว็บไซต์อาจจะเป็นการว่าจ้าง บริษัท ที่ปรึกษาบางรายที่เลือกจากราคาต่ำสุดต่อผู้พัฒนา บริษัท นั้นจะจ้างคนสุ่มจำนวนมากในเกณฑ์ที่คล้ายกันโดยมีคนเฉลี่ยอยู่ในโครงการไม่เกิน 3 เดือนก่อนที่จะถูกหมุนไปทำอย่างอื่น

ใครทำผิดพลาดได้อย่างไร? ผ่านความเกียจคร้านการขาดความรู้การขาดความเชี่ยวชาญความรวดเร็วการขาดกระบวนการ ฯลฯ เราจะป้องกันข้อผิดพลาดได้อย่างไร? จากความขยันประสบการณ์การป้องกัน ฯลฯ สถานการณ์นี้ไม่แตกต่างอย่างมีนัยสำคัญจากความผิดพลาดเล็ก ๆ น้อย ๆ นับพันที่ทำโดยโปรแกรมเมอร์ทุกคน มันแตกต่างกันในสเกลเท่านั้น

เราเรียนรู้อะไรจากสิ่งนี้ ไม่มาก.

คำอธิบายหนึ่งที่เป็นไปได้คือรายการลำดับความสำคัญที่เบ้ บริษัท หลายแห่งที่ฉันทำงานด้วยให้ความสำคัญกับการนำผลิตภัณฑ์ออกสู่ตลาดมากกว่าคุณภาพของผลิตภัณฑ์ / รหัสที่ผลิต เอฟเฟกต์นี้เพิ่มขึ้นเป็นสองเท่าเพราะไม่เพียง แต่เป็นโปรแกรมเมอร์ที่เร่งรีบให้เสร็จ แต่ยังเป็นแผนกควบคุมคุณภาพ (ถ้ามี) ฉันยังสังเกตเห็นว่าทัศนคตินี้สอดคล้องกับการผลักดันไปยังผลิตภัณฑ์ต่อไปก่อนที่จะเสร็จสมบูรณ์ก่อนหน้าการรวมปัญหาได้ไกล

หนึ่งส่วนร่วมในแต่ละ บริษัท เหล่านี้ได้รับการจัดการที่ไม่ใช่ด้านเทคนิค ผู้จัดการโครงการผู้จัดการ IT และผู้จัดการผลิตภัณฑ์โดยทั่วไปทุกคนที่พูดในสิ่งที่ทีมพัฒนาทำงานนั้นล้วน แต่ไม่ใช่ด้านเทคนิคและไม่เข้าใจความสำคัญของการสร้างรหัสคุณภาพสูงปลอดภัย นี่คือสิ่งที่ฉันมองหาเมื่อฉันสัมภาษณ์ บริษัท ในขณะนี้ ใครเป็นผู้ครอบครองโรงพยาบาลผู้ต้องขังหรือแพทย์

ฉันจะไม่แปลกใจถ้าสิ่งที่คล้ายกันซึ่งประกอบไปด้วยระบบราชการที่ลึกล้ำนั้นเป็นปัจจัยที่ทำให้ Sony และ บริษัท อื่น ๆ มีปัญหาด้านความปลอดภัย

คนทำงานใน บริษัท ใหญ่ ๆ และคนจะทำผิดพลาดเพราะขาดความเขลาความเกียจคร้านขั้นตอนที่ไม่ดีเอกสารที่ไม่ดี ฯลฯ ขนาดของ บริษัท จะส่งผลต่อความผิดพลาดเพียงเพราะมีแหล่งที่มาของข้อผิดพลาดหรือข้อผิดพลาดมากกว่า