Qualcuno ha esperienza con l'outsourcing della revisione del codice di sicurezza tramite siti freelance (come Rent-a-coder, Elance, Guru, Getafreelancer, ecc.)? È efficace? Quali sono le migliori pratiche? Ci sono delle insidie? Qualcuno ha qualche raccomandazione o lezione appresa? Ci sono risorse o letture per saperne di più sulle esperienze degli altri con questo?
Alcune domande di esempio: hai qualche consiglio su come schermare i freelance con conoscenze di sicurezza? (Esiste un pre-test standard per esaminare i freelance candidati?) Per la revisione della sicurezza, è più efficace chiedere una revisione a risposta aperta, oppure è più efficace creare molte attività più piccole con un ambito ristretto (ad esempio, rivedere questo codice base per le vulnerabilità di SQL injection)? Dal punto di vista dei prezzi, ci sono tariffe standard o intervalli di pagamento? È più efficace addebitare un prezzo fisso o i bonus sono efficaci (ad esempio, un bonus per la ricerca di una vulnerabilità)? È un buon uso del denaro cercare di assumere più persone per lo stesso compito di revisione del codice, per massimizzare le possibilità di trovare problemi e / o confrontare i loro risultati e identificare i freelance più efficaci?
Un problema che puoi prendere come fuori ambito: puoi presumere che comprendo i rischi di condividere tale codice con persone sconosciute e mi trovo a mio agio con questo.