Quale documentazione tecnica condividere e non condividere con un vasto pubblico?

Question

Quale documentazione tecnica condividere e non condividere con un vasto pubblico?

#1 da (2 voti)

-2

Lavoro come sviluppatore di backend in un'organizzazione finanziaria e l'organizzazione ha richiesto la migrazione di tutta la nostra documentazione tecnica (ad esempio informazioni sui lotti come i nomi e la loro pianificazione e dipendenze, il modo in cui vengono eseguiti i calcoli, quali sistemi transazionali sono collegati con i lotti, ecc.) a un nuovo sistema trasparente. Sto cercando linee guida, principi, possibilmente valutazione del rischio, sulla condivisione della documentazione tecnica a un vasto pubblico. Ho alcune riserve sul fatto se sia una buona idea rendere tutto trasparente a tutti (specialmente qualcuno che potrebbe voler fare del male ora o in futuro), ma in questo momento le mie riserve sono basate su sentimenti istintivi e non supportate da argomenti .

Qualcuno ha qualche idea e / o link a informazioni aggiuntive che possono aiutarmi a teorizzare l'approccio migliore?

PS: il sistema attuale per la documentazione è accessibile solo ai team della nostra unità aziendale. Il nuovo sistema sarebbe accessibile a molte più unità aziendali e l'autorizzazione può essere eseguita solo su singoli utenti, non su gruppi. Il che rende l'autorizzazione in realtà molto difficile da amministrare. L'accesso basato sul ruolo / gruppo non è un'opzione.

security documentation

posta cybork 10.05.2018 - 09:10

fonte

1 risposta

Leggi altre domande sui tag security documentation

Dividere una classe Schema di strategia con Async c #

score 2 · Accepted Answer

In generale, la documentazione tecnica rivela alcuni aspetti della progettazione di un sistema. In ogni posto in cui ho lavorato, questi documenti sono limitati al minimo e, occasionalmente, classificati come riservati / strettamente confidenziali.

Dove esistono livelli di classificazione, è ovvio che il trattamento di tali materiali dovrebbe essere reso chiaro a tutti i dipendenti che potrebbero entrare in contatto con esso.

Anche in assenza di tutto ciò, l'opzione predefinita è che i singoli utenti devono essere autorizzati, il che suona perfettamente ragionevole.

Quindi la tua domanda si riduce a stabilire se i dipendenti a cui viene fornito l'accesso siano sufficientemente consapevoli delle loro responsabilità in merito alla divulgazione.

Se potessi leggere tra le righe (dalla mia esperienza personale), sento che la tua reticenza è che tutto ciò potrebbe attirare un controllo indebito delle soluzioni in atto, una raffica di domande e richieste di aiuto su come vari sistemi potrebbero essere usato e abusato oltre il loro scopo iniziale. Questo potrebbe essere l'intenzione dell'azienda, è difficile da dire. Certamente qualsiasi sistema degno di questo nome ha caratteristiche preziose (e possibilmente altamente portatili) che potrebbero essere riutilizzate altrove. È difficile indovinare l'importazione di una tale mossa dalla tua domanda.