Quanto danno può fare uno sviluppatore PHP disonesto?

Naviga le tue risposte
-2

Spesso è conveniente assumere un appaltatore remoto per lo sviluppo front-end. I framework, come Laravel, usano PHP per il rendering front-end , quindi avrebbe senso dare i diritti di sviluppatore front-end a modificare i file di viste PHP che rendono l'HTML.

Posso pensare a due possibili rischi per la sicurezza:

  1. Lo sviluppatore può utilizzare PHP per copiare l'intero database?

  2. Lo sviluppatore può usare PHP per attraversare la struttura delle directory e accedere all'intero codice sorgente di back-end.

Se uno dei precedenti è possibile, c'è qualcosa che posso fare per mitigare questi rischi? I rischi minori sono accettabili, ma sono preoccupato per lo scenario in cui lo sviluppatore copia l'intero codice sorgente o il database o entrambi.

    
posta Arthur Tarasov 19.05.2018 - 03:55
fonte

2 risposte

9

Concedere a uno sviluppatore malevolo l'accesso a qualsiasi parte della tua infrastruttura è estremamente rischioso. Potrebbero scrivere codice da molti punti diversi che possono restituirli ai tuoi servizi o, peggio, ai tuoi utenti.

In parole semplici, se sei anche un po 'preoccupato che qualcuno possa essere una minaccia per la sicurezza, trova qualcun altro. Se ciò significa pagare di più per qualcuno locale, fallo. Anche gli sviluppatori competenti e degni di fiducia rendono gli errori che affondano le intestazioni e che affondano nella società.

    
risposta data 19.05.2018 - 05:21
fonte
3

Sì, se un dev ha accesso al db, può copiarlo o cancellarlo. Se hanno accesso al codice sorgente, possono copiarlo o cancellarlo.

Per attenuare questo fare backup e utilizzare il controllo del codice sorgente. Ma quelli non sono veramente significativi. La tecnologia non può risolvere i problemi delle persone.

Per questo tipo di cose, devi gestire la persona. Noleggia bene, mantieni la gente felice, e tieni a portata di mano un avvocato nel caso che superino il limite.

    
risposta data 19.05.2018 - 04:08
fonte

Leggi altre domande sui tag

Prestazioni del programmatore: in base alla posizione, orari [chiuso] Come progettare i livelli in Fabric Service di Azure