Sono d'accordo che non è proprio infosec, ovviamente non hai il personale per esaminare il codice da solo o fare da solo il controllo qualità. Tuttavia, le tue capacità e la tua posizione dovrebbero essere adeguate per affrontare il problema a livello gestionale. Vorrei concentrarmi sui controlli e far sapere al CIO che stai percorrendo questa strada. Tieni riservati i dettagli dell'indagine.
In che modo il codice ha superato la revisione paritaria? Possono dimostrare che la revisione tra pari (oi vostri simili processi) sono stati documentati, le persone sono state addestrate e le procedure seguite? Stanno regolarmente chiedendo al loro vicino di "+1 me!" senza una cultura di controllo effettivo? Dev ha avuto un post-mortem del fallimento? Hanno suggerimenti o nuovi processi per impedire che ciò accada di nuovo?
Il controllo di qualità ha eseguito un test automatico? Perché o perché no? Ha raccolto il bug? Perché non faceva parte della loro copertura di test. Sarà aggiunto alla copertura del test? Quando?
Controlla che i log di controllo corrispondano alla storia degli sviluppatori e del controllo qualità. Se le storie non corrispondono, fai altre domande.
Alla fine di tutto, dovresti avere un rapporto con raccomandazioni e risultati. Il CIO può chiamare una riunione di revisione. Chiederei privatamente al CIO se vuoi mettere la paura nella leadership per questa "violazione". Se non stai attento alla tua documentazione e ti limiti la lingua rispetto ai risultati, ovviamente i tuoi pari ti odieranno per sempre, ma questo è un lato oscuro delle indagini interne su infosec.
IMHO, la direzione del QC dovrebbe porre queste domande, ma dato che non hanno preso posizione per affrontare il problema, il CIO potrebbe non avere fiducia in questa leadership.
Tutte queste informazioni dovrebbero essere conservate in quanto potrebbero essere utili come prova della tua dilligence nell'indagare su un problema di sicurezza nel codice. Rivolgilo al CIO, ripulisci i dettagli eccessivi, aggiungi le tue attività di correzione e aggiungilo ai tuoi record.