Devo usare codice sconosciuto da terzi? [chiuso]

Naviga le tue risposte
0

Sto cercando di creare e ospitare un sito Web per un cliente. Il loro sito esistente ha una struttura che consente ai clienti di fare donazioni e vogliono che anche il nuovo sito lo abbia.

Il mio manager ha detto che possiamo semplicemente rimuovere il codice e i dati esistenti e metterlo sui nostri server e mi ha chiesto di andare avanti e fare questo.

Sono diffidente nel farlo perché in realtà non so come funziona il codice e non posso garantire che sia affidabile o addirittura sicuro. Il mio manager dice che deve essere sicuro perché ha già funzionato correttamente sul loro sito. Inoltre, non può permettersi di passare il tempo a leggerlo e cercare di capirlo. Vuole solo che me lo copi e lo copi.

Per me è sicuro procedere?

NB. Immagino che questa sia una sorta di questione etico / legale. Ma volevo postarlo qui per capire anche i motivi tecnici.

    
posta Urbycoz 08.09.2017 - 16:32
fonte

2 risposte

4

Da un punto di vista del processo aziendale hai il concetto di rischio:

  • Quanto è probabile che qualcosa vada storto?
  • Qual è l'impatto possibile se va male?
  • Accetti, mitighi o eviti questo rischio?

Ti stai avvicinando al processo di voler evitare il rischio mentre il tuo manager sembra essere dalla parte di accettare tale rischio.

D'altra parte, c'è anche un costo opportunità:

  • Qual è il potenziale guadagno di un'azione?
  • Quanto è probabile che l'azione vada a buon fine?
  • Accetti, mitighi o elimini l'opportunità?

Hai un cliente che ti paga per ospitare, e se rifiuti di farlo, perdi quei soldi e potenzialmente il contratto.

Detto questo, c'è una via di mezzo che non penso che tu abbia ancora esplorato. La via di mezzo della "mitigazione".

È prassi comune mettere le applicazioni web rivolte all'esterno in una zona De-Militarize (DMZ), dove ci sono dei firewall su entrambi i lati della DMZ in modo da mitigare i cattivi attori dall'esterno e il codice errato all'interno della DMZ.

Potresti considerare l'aggiunta di un altro set di firewall attorno al tuo codice di terze parti, supponendo che la copia e la distribuzione siano tutto ciò che ti serve per farlo funzionare. Di solito è richiesta anche un'ulteriore configurazione.

Tutti possiamo discutere avanti e indietro se il codice è sicuro o no, ma non è questa la domanda che dovremmo porci. È così che può influire negativamente sul tuo ambiente e sulle tue attività. Negli affari c'è sempre un equilibrio tra rischio e rendimento. Alla fine della giornata, a condizione che tutti stiano lavorando all'interno dei costrutti legali della tua azienda, qualcuno deve prendere la decisione su come gestire il rischio. Se il tuo manager decide di accettare il rischio (e ha il diritto legale di farlo), allora è in ultima analisi responsabile se qualcosa va storto.

In breve, se non riesci a quantificare le tue preoccupazioni, o risultano essere entro limiti accettabili, devi andare con quello che dice il tuo manager. Se riesci a trovare una soluzione a basso costo per minimizzare il potenziale danno alla tua infrastruttura, puoi proporla.

    
risposta data 08.09.2017 - 16:52
fonte
0

Valuta questo codice nello stesso modo in cui valuti qualsiasi altro codice:

  1. Fa quello che dovrebbe fare?
  2. Seguono ragionevolmente solide "best practice" per la sicurezza e la stabilità?
  3. Richiederà l'adattamento o l'alterazione per adattarsi al tuo ambiente?

Queste sono cose che dovrebbero essere considerate parte dell'atto di "copia-incolla" del codice. Nessuno si aspetta ragionevolmente che il codice funzioni immediatamente, semplicemente da una semplice copia / incolla. Devi collegarlo, testarlo, fare tutte le solite cose con esso.

Per quanto ne so, qui non ci sono problemi legali o etici. Non è il tuo codice, ma l'altra azienda ti concede le autorizzazioni per usarlo. Spetta al tuo manager e al reparto legale assicurarsi che siano stati stipulati gli accordi scritti necessari.

    
risposta data 08.09.2017 - 17:01
fonte

Leggi altre domande sui tag

Tipo di sicurezza e verifica del runtime del tipo Modifica nel problema del tour del cavaliere