Uno dei membri del mio team ha commesso codice vulnerabile all'iniezione SQL; dovrei segnalarlo al manager? [chiuso]

Naviga le tue risposte
4

Uno dei membri del mio team ha commesso un errore enorme; una chiara vulnerabilità di injection SQL. Ovviamente non ha superato la mia peer review e ho chiarito che ciò è inaccettabile. Non ho mai visto questo programmatore commettere questo errore e non sono a conoscenza di altri problemi di sicurezza commessi da questo particolare programmatore. Il problema è risolto e la mia spiegazione è comprensibile.

Le mie considerazioni:

  1. Il programmatore ora è a conoscenza di questo errore e probabilmente non lo farà più.
  2. Il problema tuttavia era enorme e avrebbe potuto avere conseguenze importanti quando è stato portato in produzione.
  3. Non è un programmatore junior (> 5 anni di esperienza).

Devo dirlo al direttore?

    
posta Sherlock 20.01.2015 - 15:43
fonte

2 risposte

39

Ci sono solo due buoni motivi per riferire qualcosa di simile al management: è se credi che il programmatore che lo ha fatto sia malizioso e cerchi di intrufolarsi qualcosa, o se credi che il programmatore che lo ha fatto sia incompetente, può essere altrettanto dannoso di un coder malevolo.

Dal modo in cui lo descrivi, sembra che tu pensi che sia solo un programmatore che ha fatto un errore. Scommetto che l'hai fatto una volta o due, anche se ero uno sviluppatore esperto. È stato preso in esame prima che arrivasse alla produzione e tu hai parlato con il ragazzo e gli hai fatto capire il problema.

Personalmente, a questo punto, avrei archiviato l'intero incidente sotto "nessun danno, lezione imparata" e lascialo andare. Ma tieni d'occhio i commit di questo ragazzo per un po ', tanto per essere sicuro, e se vedi emergere un pattern, then vai in gestione. Ma per il momento, non c'è motivo di andare potenzialmente a rovinare la carriera di qualcuno per un errore.

    
risposta data 20.01.2015 - 15:48
fonte
35

Questo è l'intero punto di revisione del codice.

L'errore è scritto. L'errore è stato trovato e corretto nella revisione del codice.

Vuoi chiacchierare con il tuo vecchio membro del team? Questo membro del team secondo te ha mai fatto un errore simile prima.

A meno che il codice non sia stato scritto intenzionalmente in quel modo (e tu puoi provarlo), questa è un'idea davvero stupida con cui andare in gestione.

    
risposta data 20.01.2015 - 15:48
fonte

Leggi altre domande sui tag

Perché il conteggio delle righe non è in Visual Studio basato su zero? [chiuso] Perché non possiamo semplicemente usare le variabili anziché le costanti?