Come fa una grande azienda a commettere errori da principiante che lasciano buchi di sicurezza? [chiuso]

15

Sony è stata recentemente hackerata con un'iniezione SQL e le password degli utenti sono state archiviate in testo normale. Questi sono errori da principiante. In un'azienda così grande, come passa questo QA? Come fanno a non avere team migliori di quelli che conoscono meglio di questo?

Le dimensioni della società che è stata compromessa lo rendono diverso. Colpisce tutti noi perché un giorno potremmo tutti ritrovarci in una squadra responsabile di qualcosa del genere, e poi prendiamo l'ascia. Quindi quali sono i fattori che portano a questo, e come possiamo prevenirli?

    
posta richard 03.06.2011 - 18:02
fonte

6 risposte

24

La prima cosa che viene in mente è, perché sono abbastanza grandi da far crescere alcuni strati di burocrazia. Ciò significa, tra le altre cose, che non hai più programmatori davvero intelligenti incaricati del processo di assunzione, il che significa che perdono la capacità di estirpare potenziali programmatori e persone con controllo di qualità che sono incompetenti. Il che porta a scrivere codice errato e renderlo in produzione, e sappiamo tutti cosa succederà dopo ...

    
risposta data 03.06.2011 - 18:05
fonte
18

Perché ai programmatori non è stato detto di testare per questo e la schiacciante cultura aziendale non ha dato loro abbastanza margine per avere il loro senso dell'etica professionale e richiedere un altro paio di settimane per testare le vulnerabilità della sicurezza. O per insistere sul fatto che siano sicuri fin dall'inizio.

Perché il capo non voleva passare un paio di settimane in più per testare i problemi di sicurezza per ... qualunque ragione. Un bonus extra alla fine dell'anno. Presentando Johnson dal prossimo dipartimento. Vantarsi. Dovere verso la compagnia. Pigrizia. Diffidenza nei consigli del sottopelle.

Perché il grande capo richiedeva maggiori profitti e promosso Johnson a Bob perché il suo numero sembrava migliore rispetto a richiedere un prodotto migliore. Perché qualità e sicurezza sono valori difficili da visualizzare su un foglio di calcolo. Perché le multinazionali esistono per fare soldi.

Cose come questa sono un problema sistematico. Si riduce a "perché sono pazzi".

Modifica I programmatori possono evitare di essere la capra sacrificale, dopo aver notato una mancanza, portare il problema al loro capo. Farà la cosa giusta e farà un piano per risolverlo o dirti di ignorarlo. Se non lo aggiusta, rendilo ufficiale, chiedi informazioni via e-mail. Utilizza parole chiave pertinenti al problema, come "vulnerabilità", "iniezione", "violazione della sicurezza" in questo caso. Cose che una ricerca e-mail avrebbe raccolto.

Questo sta superando il limite. È ora la responsabilità dei tuoi capi. Se è importante, come se le persone morissero quando questa cosa fallisce, ripassa la testa e porta il problema al suo capo. Puoi essere licenziato solo per aver passato il dollaro, e puoi comunque essere licenziato anche se lo fai passare, ma è la cosa giusta da fare. Non proprio così come in realtà risolvere il problema, ma chiudere.

    
risposta data 03.06.2011 - 18:25
fonte
12

Più grande è la società, più lontano i responsabili delle decisioni provengono da qualsiasi responsabilità della vita reale.

Sapendo come funzionano le aziende, la progettazione del sito è stata probabilmente esternalizzata a una società di consulenza scelta in base al prezzo più basso per sviluppatore. Quella compagnia a sua volta assumerebbe un gruppo di persone casuali su criteri simili, con una persona media che resterà sul progetto per non più di 3 mesi prima di essere trasferita a qualcos'altro.

    
risposta data 03.06.2011 - 18:23
fonte
4

Come fa qualcuno a commettere errori? Per pigrizia, mancanza di conoscenza, mancanza di esperienza, convenienza, mancanza di processo, ecc. Come possiamo prevenire gli errori? Attraverso la diligenza, l'esperienza, le salvaguardie, ecc. Questa situazione non è diversa, categoricamente, dalle migliaia di piccoli errori commessi da ogni programmatore; è solo diverso in scala.

Che cosa possiamo imparare da questo? Non molto.

    
risposta data 03.06.2011 - 18:27
fonte
2

Una possibile spiegazione è una lista di priorità distorta. Molte aziende con cui ho lavorato hanno dato più importanza all'immissione sul mercato di un prodotto, piuttosto che alla qualità del prodotto / codice che stavano producendo. Questo effetto è raddoppiato perché non solo i programmatori si sono affrettati al completamento, ma lo è anche il dipartimento QA (se ne ha addirittura uno). Ho anche notato che questo atteggiamento coincide con il passaggio al prodotto successivo prima che il precedente fosse completato, aggravando ulteriormente il problema.

Un comune denominatore in ciascuna di queste società è stata la gestione non tecnica. Project Manager, IT Manager e Product Manager, fondamentalmente tutti con un punto di vista su ciò su cui lavora il team di sviluppo, sono tutti non tecnici e non comprendono l'importanza di produrre codice di alta qualità, sicuro. Questo è qualcosa che cerco quando intervisto con le aziende ora. Chi detiene il regno del manicomio, dei detenuti o dei dottori?

Non sarei sorpreso se qualcosa di simile, aggravato da una profonda burocrazia, fosse un fattore determinante nei problemi di sicurezza di Sony e di altre società.

    
risposta data 03.06.2011 - 18:23
fonte
0

Le persone lavorano in grandi aziende e le persone commettono errori, a causa dell'ignoranza, della pigrizia, delle cattive procedure, della cattiva documentazione, ecc. Le dimensioni della società incideranno solo sugli errori in quanto potrebbero esserci più fonti di errori o errori.

    
risposta data 03.06.2011 - 18:27
fonte

Leggi altre domande sui tag