Valutazione della sicurezza in outsourcing

Il tentativo di tagliare la revisione del codice in più parti presenta due problemi. Il primo è il famigerato e sempre presente problema di elencare la cattiveria, e il secondo è il sovraccarico del reclutamento e della gestione dei freelance remoti.

Se optate per una revisione aperta, eviterai di dividerlo, ma dovrai fare attenzione assicurandoti che i freelance non si fermino solo a un basso carico di frutta perché sentono che hanno scritto tanto quanto te pagato per. Qualsiasi outsourcing remoto deve essere specificato con molta attenzione - essendo molto specifico su come si desidera che la recensione riportata gestisca il rischio che i freelance si fermino presto. Sviluppare queste specifiche in modo interattivo con i freelance - magari anche a partire da una lavagna vuota completa - fornirà una grande opportunità per valutare la portata e la profondità delle loro conoscenze meglio di quanto un quiz consentirebbe.

Il seeding deliberatamente del codice per la revisione con i problemi è anche un possibile approccio per valutare i revisori, ma si ottiene che il feedback sia troppo tardi per essere utile a meno che non si stia cercando revisori da usare su base ripetuta.

Anche se ricevere più recensioni probabilmente varrà la pena, potrebbe non valere la pena aumentare l'overhead del processo. Il trade-off varierà tra le organizzazioni: se il personale tecnico sta svolgendo tutte le attività di reclutamento e gestione, è probabile che il loro tempo sia dedicato al codice e alla revisione interna, se il tempo di gestione del progetto è abbondantemente disponibile, il sovraccarico potrebbe essere accettabile.

Anche se non ho esperienza di assumere qualcuno da un sito freelance per fare recensioni di codice, pensando alla domanda, credo che tu stia davvero cercando qualcuno che possa essere solo un altro occhio per cogliere qualche omissione. Sembra un duh momento che conosco. Ma, se quello che stai chiedendo se riesci a dare uno schiaffo a qualcosa, allora prendi un editor di codice sicuro per renderlo bello e sicuro mentre tutto ciò che fai è concentrarsi sulla logica ... Penso che tu stia per essere deluso.

Devi conoscere e probabilmente avere il tuo codice pronto al 95-97% per andare già usando alcuni principi di codifica sicura, lo costruisci dall'inizio non puoi attaccarlo alla fine. Che ne dici di fare amicizia con un JUG o un altro gruppo di programmazione locale, magari stabilendo una relazione lì e vedendo se non è possibile ottenere una revisione del codice in questo modo o almeno qualcuno potrebbe passare qualcuno a passaparola.

Penso che tu voglia essere specifico se hai intenzione di seguire il percorso dei freelance. Parti su parti del tuo programma e noleggiati per cercare uno specifico tipo di vulnerabilità. L'analisi del codice è un processo lungo e potresti non ottenere un buon prodotto se qualcuno che valuta il proprio tempo all'ora sa che cercare un bug vale solo per X ore ma hai pagato per un po 'meno di quello che richiede quindi la motivazione è andata. È un'intervista, forse sarebbe una buona idea gettare loro qualcosa che si sa essere un bug per assicurarsi che possano trovarlo.

Sono curioso di sapere come le persone con più esperienza in questo risponderanno alla tua domanda.