Будучи создателем программы, вы, вероятно, в лучшем положении, чем кто-либо, знаете об уязвимостях безопасности и потенциальных взломах. Если вы знаете об уязвимости в написанной вами системе, это ДОЛЖЕН быть добавлен признак того, что повышенная безопасность должна быть выпущена до выпуска, или это следует оценивать в каждом конкретном случае для определения серьезности разрыва в безопасности?
12
Ответы:
Я бы сказал, что это должно быть сделано в каждом конкретном случае. Вы автор, вы знаете много дыр. Некоторые уязвимости могут быть известны только вам. Конечно, это означает, что если какой-либо из них будет эксплуатироваться, у вас могут возникнуть трудные вопросы, на которые можно ответить, поэтому было бы неплохо по возможности уменьшить эти уязвимости. Более важно, если кто-то может легко взломать его как систему черного ящика.
источник
У меня был неудачный опыт нахождения в ситуации дважды. В обоих случаях бизнес выпускал продукты с серьезными проблемами безопасности с очень конфиденциальными данными.
В обоих случаях бизнес, казалось, не заботился, несмотря на все мои усилия, чтобы они знали о рисках, которые они принимали.
Единственное, что вы можете сделать, это протестовать как можно громче * (и профессионально), как можно яснее о возможных последствиях, и пока вы делаете этот документ, все . Распечатайте ваши соответствующие электронные письма в PDF-файлы и храните эти файлы дома, или скрывайте свой личный адрес электронной почты, или как вы это делаете. Это единственное решение, когда неизбежно случается что-то плохое.
Вы бы надеялись, что руководство будет уважать вас за ваши технические советы и принимать их во внимание, но, к сожалению, вы должны уважать того, кто принимает решения в конце дня. Плохие деловые решения принимаются каждый день.
Изменить: Джейсон упомянул "Пожалуйста, будьте очень осторожны, BCCing ваш домашний адрес", и я очень согласен. Пожалуйста, не нарушайте политику компании и рискуйте раскрыть уязвимость безопасности больше, чем она есть.
источник
Я бы сказал обратное - будучи создателем, вы часто слишком близки к коду, чтобы увидеть уязвимости.
Если вы знаете или говорите об уязвимостях, они, как и любая другая ошибка - оценивают, расставляют приоритеты, а затем исправляют.
источник
Я думаю, что ответ зависит от степени вреда, который может возникнуть, если система будет взломана злоумышленником. Очевидно, что инженер-строитель не мог с чистой совестью одобрить проект небезопасного моста. Строительство такого моста может привести к травме или смерти. Для инженера также было бы незаконно сознательно делать это, но тот факт, что разработчики программного обеспечения (по крайней мере, в США) юридически не связаны таким же образом, не освобождает их от профессиональной обязанности выступать против неисправных систем. К сожалению, вашей компании может не потребоваться ваша подпись для выпуска программного обеспечения.
Вы не указываете точный характер системы, над которой работаете. Если это связано с медицинскими записями, банковскими операциями, управлением воздушным движением или какой-либо другой действительно важной инфраструктурой, я бы сказал, что вы будете вполне оправданно настаивать на максимально возможном уровне безопасности до выпуска.
источник
Да, вы ДОЛЖНЫ исправить это до выхода релиза. Никогда не стоит недооценивать изобретательность хакера. Вы бы отправились в отпуск на неделю с широко распахнутой задней дверью? Будет ли ваше оправдание,
«О, он сзади, и он не смотрит прямо на улицу. Никто бы не увидел, что он широко открыт ...»
Возможно нет.
Но в настоящее время я понимаю, что безмолвный премьер-министр понимает, что самая священная дата релиза важнее, чем потенциально серьезная проблема безопасности. Если это ваш случай, то я предлагаю обратить на это внимание, зарегистрировать проблему, убедиться, что она хорошо задокументирована, хорошо известна, а риски четко объяснены, и пусть премьер-министр решит, что делать.
Если премьер-министр примет плохое решение и решит проигнорировать это и продолжить выпуск в соответствии с графиком, тогда вы освобождаетесь от ответственности, поскольку вы опровергли свисток.
В противном случае, если вы обнаружите это и сохраните это для себя, и что-то произойдет, ВЫ будете нести личную ответственность за последствия.
Выбор ваш.
источник