คำถามติดแท็ก risk

ข้อบกพร่องเกิดขึ้นและบางครั้งข้อมูลจะต้องได้รับการแก้ไขในการผลิต วิธีที่ปลอดภัยที่สุดที่จะไปเกี่ยวกับเรื่องนี้จากมุมมองของ บริษัท ใหญ่คืออะไร? มีเครื่องมือที่สามารถช่วยได้หรือไม่? ต่อไปนี้เป็นข้อควรพิจารณาบางข้อที่ทำให้เกิดข้อกำหนดนี้ ... เราต้องบันทึกว่าใครเป็นคนค้นหาและสิ่งที่พวกเขาวิ่ง โดยหลักการแล้วเราจำเป็นต้องให้สิทธิ์การเข้าถึงแก่บุคคลในการเรียกใช้คิวรีกับตารางที่สนใจและเพียงช่วงเวลาสั้น ๆ เท่านั้น อะไรก็ตามที่กำลังรันเคียวรีจะต้องมีสมาร์ทโฟนบางตัวเพื่อไม่ให้ใช้งานได้นานและล็อค SQL ให้ทำงานโดยไม่ได้รับอนุญาตอย่างชัดเจน กระบวนการนี้จะต้องเป็นผู้ไม่เชื่อเรื่องพระเจ้า DB หรืออย่างน้อยก็เข้าใจ DB2, Oracle, และ SQL Server เราพยายามที่จะลดความเสี่ยงของการสืบค้นแบบ ad-hoc prod-up จากการทำสิ่งที่ผิดและในขณะเดียวกันก็เพิ่มความปลอดภัย / audtis ให้กับกระบวนการ ความคิดหรือความคิด?

23 database  risk 

มีชุดของกฎที่ได้รับการอนุมัติจากอุตสาหกรรมเพื่อหลีกเลี่ยงการล็อคอินของผู้ขายหรือไม่? ฉันหมายถึงบางสิ่งที่สามารถแสดงต่อผู้จัดการหรือผู้มีอำนาจตัดสินใจอื่น ๆ ที่เข้าใจง่ายและตรวจสอบได้ง่าย มีชุดของกฎที่ยอมรับในระดับสากลรายการตรวจสอบหรือชุดเงื่อนไขที่ช่วยตรวจจับและป้องกันการล็อคผู้ขายในวัตถุประสงค์ที่สามารถวัดได้หรือไม่? คุณเคยเตือนผู้จัดการเกี่ยวกับความเสี่ยงของการล็อคอินของผู้ขายในช่วงเริ่มต้นของโครงการหรือไม่?

23 management  decisions  risk 

สองสามปีที่ผ่านมาฉันได้สังเกตเห็นการเติบโตชี้แจงใน บริษัท ที่เกี่ยวข้องกับข่าวไอทีและบุคคลที่นำคดีขึ้นสู่ศาลในด้านหนึ่งและคำถามเกี่ยวกับประเด็นทางกฎหมายทุกที่บนเว็บในอีกด้านหนึ่ง ฉันสงสัยอย่างมากว่าผู้คนและ บริษัท ต่างๆต่างก็เริ่มขโมยความคิดซึ่งกันและกัน แต่ก็มีบางอย่างที่แตกต่างออกไป มันคือ: 1) คนไอทีโดยเฉลี่ยมีการศึกษาที่ถูกกฎหมายมากขึ้นหรือไม่? 2) การเปลี่ยนแปลงบางอย่างในระบบกฎหมายของประเทศต่าง ๆ ที่ฉันพลาดไปทำให้เกิดปรากฏการณ์นั้นขึ้นมา? 3) ขณะนี้ IT กำลังถูกมองว่าเป็นแหล่งที่มาของรายได้ที่ไม่ จำกัด และโทรลล์และทนายความได้หันมาให้ความสนใจกับมันหรือไม่? 4) การพัฒนาอื่น ๆ ในสถานที่? ส่วนแรกของคำถามของฉันคือวิธีการที่ควรจะเป็นนักพัฒนาเฉลี่ยตอบสนองต่อแนวโน้มรบกวนนี้ : a) ดำเนินการต่อเหมือนก่อนหน้าและเพิกเฉยต่อกฎหมายทุกอย่าง b) ให้ความรู้ในกฎหมายท้องถิ่นและกฎหมายระหว่างประเทศที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ c) ขอคำแนะนำทางกฎหมายจากมืออาชีพเสมอก่อนที่จะทำอะไรก็ได้ที่เกี่ยวข้องกับการเขียนโปรแกรม d) สำหรับโครงการประเภทใดก็ตามที่ลงทะเบียน LLC เพื่อปกป้องตัวเองแม้สำหรับโครงการขั้นพื้นฐานและไม่เป็นอันตราย ส่วนที่สองเป็นหนึ่งที่ใหญ่กว่า: วิธีนี้จะส่งผลกระทบต่อ บริษัท ไอทีและเริ่มอัพ : e) บริษัท ใหม่มีความเสี่ยงหรือไม่? ถ้าเป็นเช่นนั้นความเสี่ยงนี้เหมือนในสหรัฐอเมริกาที่มีสิทธิบัตรซอฟต์แวร์ทั้งหมดหรือทั่วโลกหรือไม่ f) บริษัท ใหม่ใด ๆ สามารถอยู่รอดได้โดยไม่ต้องรับทนายตั้งแต่เริ่มต้นและยื่นขอจดสิทธิบัตรที่เป็นไปได้ …

22 business  legal  startup  risk 

ที่ที่ฉันทำงานอยู่เรามีนักพัฒนาจำนวนมากและมีรหัสมากมายที่น่ากลัวที่ใช้แอปพลิเคชันที่เป็นกรรมสิทธิ์ของเราที่ใช้โดยพนักงานและลูกค้า นอกจากนี้เรายังมีเจ้าหน้าที่สนับสนุนที่ชาญฉลาดจำนวนมากที่ต้องการทำความเข้าใจการทำงานภายในของระบบของเราเพื่อสนับสนุนลูกค้าของเราได้ดียิ่งขึ้นและอาจส่งแพทช์เป็นครั้งคราว เราควรเปิดรหัสของเราเพื่อให้พนักงานที่ไม่ใช่นักพัฒนาของเราอ่านได้หรือไม่? เราควรคำนึงถึงปัจจัยใดบ้างเมื่อทำการตัดสินใจครั้งนี้ ฉันเจอข้อโต้แย้งและข้อโต้แย้งหลายทางและต้องการตัดสินใจโดยอาศัยประสบการณ์ของผู้อื่นรวมถึงความเสี่ยงที่เข้าใจกันดี บางคนโต้แย้ง: รหัสผ่านใน VCS นั้นถูกเปิดเผย (วิธีแก้ปัญหา: กำจัดรหัสผ่าน - พวกเขาไม่ควรเริ่มด้วย) รหัสนี้เปิดให้มีการโจมตีเพื่อความปลอดภัยในกล่องขาว (โต้เถียง: สิ่งนี้จะป้องกันผู้โจมตีที่ซื่อสัตย์ / ขี้เกียจเท่านั้น) เจ้าหน้าที่ให้ความช่วยเหลือสามารถถามนักพัฒนาว่า "ทำงานอย่างไร" สิ่งต่าง ๆ (เคาน์เตอร์: สอนคนตกปลา ฯลฯ ) ไม่มีใครเปิดรหัสของพวกเขาให้กับพนักงานในองค์กร มันทำให้เกิดปัญหาใด ๆ ?

14 open-source  security  enterprise-development  risk 

ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังคำตอบที่จะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้มีแนวโน้มที่จะเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน6 ปีที่ผ่านมา ฉันกำลังคิดเกี่ยวกับการ จำกัด สิทธิ์ของผู้ใช้ที่เลือกรหัสผ่านที่ไม่ปลอดภัย (ความไม่มั่นคงของรหัสผ่านที่ถูกกำหนดโดยความยาวจำนวนอักขระ (ประเภทตัวพิมพ์ใหญ่ / ตัวน้อยตัวเลขสัญลักษณ์ ฯลฯ ) ที่มีความปลอดภัยและไม่ว่าจะเป็น อยู่ในตารางสายรุ้ง) เพื่อ จำกัด จำนวนความเสียหายที่บัญชีของพวกเขาสามารถทำได้หากถูกบุกรุก ฉันยังไม่มีแอปพลิเคชันสำหรับความคิดนี้ แต่บอกว่าฉันกำลังเขียนฟอรัมหรือบางสิ่ง: ผู้ใช้ที่ใช้ 1234 เป็นรหัสผ่านอาจต้องกรอก captcha ก่อนโพสต์หรืออาจมีมาตรการต่อต้านสแปมอย่างเข้มงวดเช่น เมื่อหมดเวลาหรือตัวกรองแบบเบย์ปฏิเสธเนื้อหาของพวกเขา หากฟอรัมนี้มีลำดับชั้นมากอนุญาตให้ "การส่งเสริม" แก่ผู้กลั่นกรองหรืออะไรก็ตามด้วยวิธีนี้จะหยุดพวกเขาจากการได้รับสิทธิพิเศษหรือบอกพวกเขาว่าพวกเขามีสิทธิ์ แต่ไม่ให้พวกเขาออกกำลังกายโดยไม่มีการเปลี่ยนแปลง รหัสผ่าน แน่นอนว่านี่อาจไม่ใช่มาตรการรักษาความปลอดภัยเพียงอย่างเดียว แต่อาจเป็นไปได้ด้วยดีถัดจากแนวทางการรักษาความปลอดภัย คุณคิดอย่างไร? นี่เป็นการทำเกินความตั้งใจขโมยโฟกัสไปที่การรักษาความปลอดภัยที่สำคัญกว่าเดิมหรือเป็นวิธีที่ดีในการจำกัดความเสี่ยงและกระตุ้นให้ผู้ใช้ใช้รหัสผ่านที่ปลอดภัยยิ่งขึ้น (และหวังว่าจะทำให้คนที่คุณเชื่อมั่น

13 security  passwords  authorization  risk  permissions 

เป็นที่ทราบกันดีว่าการทดสอบแบบครบวงจรและการรวมระบบนั้นมีค่าใช้จ่ายสูง แน่นอนว่าถ้าเราพัฒนาแอพพลิเคชั่นที่ผู้คนอาจตายถ้าสิ่งผิดพลาดมันเป็นการลงทุนที่คุ้มค่า อย่างไรก็ตามในแอปพลิเคชันที่มีข้อผิดพลาดไม่ใช่จุดจบของโลกจะไม่ถูกกว่าที่จะข้ามการทดสอบ E2E และการทดสอบการรวมเข้าด้วยกันและแทนที่จะจัดทำแผนสำรองหากมีอะไรผิดพลาด ชอบคือการทดสอบด้วยตนเองของเรื่องราวของผู้ใช้ + การทดสอบหน่วย + โดยใช้ภาษาที่พิมพ์แบบคงที่เพียงพอหรือไม่ เช่นหากร้านค้าบนเว็บสั่งซื้อสินค้าสูญหายพวกเขาสามารถส่งสินค้าฟรี + สินค้าอื่นเป็นคำขอโทษแทน ผู้ใช้ปลายทางอาจมีความสุขมากกว่าเดิมและ บริษัท โดยรวมจะช่วยประหยัดเงิน ฉันเดาว่าคำถามของฉันคือโดยทั่วไปการทดสอบการรวมและการทดสอบ E2E มีค่าใช้จ่ายเท่าไหร่และประหยัดได้เท่าไหร่ มีวิธีการคำนวณความเสี่ยง / ต้นทุนสำหรับสิ่งนี้หรือไม่?

9 testing  qa  pricing  risk