Valutazione della sicurezza in outsourcing

6

Qualcuno ha esperienza con l'outsourcing della revisione del codice di sicurezza tramite siti freelance (come Rent-a-coder, Elance, Guru, Getafreelancer, ecc.)? È efficace? Quali sono le migliori pratiche? Ci sono delle insidie? Qualcuno ha qualche raccomandazione o lezione appresa? Ci sono risorse o letture per saperne di più sulle esperienze degli altri con questo?

Alcune domande di esempio: hai qualche consiglio su come schermare i freelance con conoscenze di sicurezza? (Esiste un pre-test standard per esaminare i freelance candidati?) Per la revisione della sicurezza, è più efficace chiedere una revisione a risposta aperta, oppure è più efficace creare molte attività più piccole con un ambito ristretto (ad esempio, rivedere questo codice base per le vulnerabilità di SQL injection)? Dal punto di vista dei prezzi, ci sono tariffe standard o intervalli di pagamento? È più efficace addebitare un prezzo fisso o i bonus sono efficaci (ad esempio, un bonus per la ricerca di una vulnerabilità)? È un buon uso del denaro cercare di assumere più persone per lo stesso compito di revisione del codice, per massimizzare le possibilità di trovare problemi e / o confrontare i loro risultati e identificare i freelance più efficaci?

Un problema che puoi prendere come fuori ambito: puoi presumere che comprendo i rischi di condividere tale codice con persone sconosciute e mi trovo a mio agio con questo.

    
posta D.W. 07.08.2011 - 05:27
fonte

2 risposte

3

Il tentativo di tagliare la revisione del codice in più parti presenta due problemi. Il primo è il famigerato e sempre presente problema di elencare la cattiveria, e il secondo è il sovraccarico del reclutamento e della gestione dei freelance remoti.

Se optate per una revisione aperta, eviterai di dividerlo, ma dovrai fare attenzione assicurandoti che i freelance non si fermino solo a un basso carico di frutta perché sentono che hanno scritto tanto quanto te pagato per. Qualsiasi outsourcing remoto deve essere specificato con molta attenzione - essendo molto specifico su come si desidera che la recensione riportata gestisca il rischio che i freelance si fermino presto. Sviluppare queste specifiche in modo interattivo con i freelance - magari anche a partire da una lavagna vuota completa - fornirà una grande opportunità per valutare la portata e la profondità delle loro conoscenze meglio di quanto un quiz consentirebbe.

Il seeding deliberatamente del codice per la revisione con i problemi è anche un possibile approccio per valutare i revisori, ma si ottiene che il feedback sia troppo tardi per essere utile a meno che non si stia cercando revisori da usare su base ripetuta.

Anche se ricevere più recensioni probabilmente varrà la pena, potrebbe non valere la pena aumentare l'overhead del processo. Il trade-off varierà tra le organizzazioni: se il personale tecnico sta svolgendo tutte le attività di reclutamento e gestione, è probabile che il loro tempo sia dedicato al codice e alla revisione interna, se il tempo di gestione del progetto è abbondantemente disponibile, il sovraccarico potrebbe essere accettabile.

    
risposta data 09.08.2011 - 20:32
fonte
2

Anche se non ho esperienza di assumere qualcuno da un sito freelance per fare recensioni di codice, pensando alla domanda, credo che tu stia davvero cercando qualcuno che possa essere solo un altro occhio per cogliere qualche omissione. Sembra un duh momento che conosco. Ma, se quello che stai chiedendo se riesci a dare uno schiaffo a qualcosa, allora prendi un editor di codice sicuro per renderlo bello e sicuro mentre tutto ciò che fai è concentrarsi sulla logica ... Penso che tu stia per essere deluso.

Devi conoscere e probabilmente avere il tuo codice pronto al 95-97% per andare già usando alcuni principi di codifica sicura, lo costruisci dall'inizio non puoi attaccarlo alla fine. Che ne dici di fare amicizia con un JUG o un altro gruppo di programmazione locale, magari stabilendo una relazione lì e vedendo se non è possibile ottenere una revisione del codice in questo modo o almeno qualcuno potrebbe passare qualcuno a passaparola.

Penso che tu voglia essere specifico se hai intenzione di seguire il percorso dei freelance. Parti su parti del tuo programma e noleggiati per cercare uno specifico tipo di vulnerabilità. L'analisi del codice è un processo lungo e potresti non ottenere un buon prodotto se qualcuno che valuta il proprio tempo all'ora sa che cercare un bug vale solo per X ore ma hai pagato per un po 'meno di quello che richiede quindi la motivazione è andata. È un'intervista, forse sarebbe una buona idea gettare loro qualcosa che si sa essere un bug per assicurarsi che possano trovarlo.

Sono curioso di sapere come le persone con più esperienza in questo risponderanno alla tua domanda.

    
risposta data 09.08.2011 - 04:06
fonte

Leggi altre domande sui tag