Как крупная компания допускает ошибки новичков, которые оставляют дыры в безопасности? [закрыто]

15

Sony недавно была взломана с помощью SQL-инъекции, и пароли их пользователей были сохранены в виде простого текста. Это ошибки новичка. В такой крупной компании, как это проходит QA? Как у них нет лучших команд, чем знать лучше, чем это?

Огромный размер взломанной компании отличает это. Это затрагивает всех нас, потому что мы все можем однажды оказаться в команде, ответственной за что-то подобное, и тогда мы получим топор. Итак, каковы факторы, которые приводят к этому, и как мы можем предотвратить их?

security qa mistakes Ричард
источник
Этот вопрос не вызвал конструктивных ответов, основанных на фактах и ​​ссылках: это список различных рассуждений о том, насколько дрянной является компания Sony. См. Сопутствующую панель вопросов для нескольких вопросов о шагах, связанных с SQL-инъекциями, QA и безопасностью. (Извините за очистку подсчета голосов при закрытии: было 3 «
Комментаторы: комментарии предназначены для уточнения, а не для расширенного обсуждения. Если вы хотите обсудить этот вопрос с другими, используйте чат . Смотрите FAQ для получения дополнительной информации.
4
@ Марк Странно, он получил несколько дико конструктивных ответов, которые, вероятно, очень близки к цели. Тем не менее, лучше задать вопрос: «Почему не существует законодательства, предусматривающего наказание за такое безрассудное поведение в такой крупной корпорации?»
Конрад Рудольф,
3
Довольно странно, что этот вопрос снова закрыли. Драконовские. Опять таки.
Ричард

Ответы:

24

Первое, что приходит на ум, это то, что они достаточно велики, чтобы вырастить несколько слоев бюрократии. Это означает, среди прочего, что у вас больше нет действительно умных программистов, отвечающих за процесс найма, а это означает, что они теряют способность отсеивать потенциальных программистов и некомпетентных специалистов по обеспечению качества. Что приводит к написанию плохого кода и его внедрению в производство, и мы все знаем, что будет дальше ...

Мейсон Уилер
источник
3
Я думаю, что вы забили гвоздь по голове бюрократией, но есть и другие проблемы, связанные с этим. Если у вас есть умный разработчик, который обнаруживает значительную проблему, то для того, чтобы получить разрешение на работу над исправлением, протестировать его и перенести в производство, требуется стихийное бедствие. Все, что нужно, чтобы один человек в бюрократии думал, что риск внесения изменений (задержки в других проектах, производственные ошибки и т. Д.) Перевешивает риск не вносить изменения (кто может взломать столь крупную компанию?).
Майо
18

Потому что программистам не сказали проверять это, а разрушительная корпоративная культура не давала им достаточно возможностей, чтобы их чувство профессиональной этики заработало и потребовало еще пару недель для проверки на уязвимости безопасности. Или настаивать на том, чтобы они были в безопасности с самого начала.

Потому что босс не хотел тратить пару лишних недель на тестирование проблем безопасности по любой причине. Дополнительный бонус в конце года. Появляется Джонсон из следующего отдела. Хвастовство прав. Обязанность перед компанией. Лень. Недоверие к советам подчиненных.

Потому что большой босс потребовал больше прибыли и продвинул Джонсона, а не Боба, потому что его цифры выглядели лучше, чем требовали лучшего продукта. Потому что качество и безопасность сложно отображать в электронной таблице. Потому что корпорации существуют, чтобы зарабатывать деньги.

Такие вещи являются систематической проблемой. Это сводится к «потому что они дураки».

Редакторы Программисты могут не быть жертвенным козлом, заметив недостаток, доведя проблему до своего босса. Он либо сделает правильную вещь и составит план, чтобы исправить это, либо скажет вам игнорировать это. Если он не исправит это, сделайте это официальным, спросите об этом по электронной почте. Используйте ключевые слова, имеющие отношение к проблеме, такие как «уязвимость», «внедрение», «нарушение безопасности» в этом случае. Вещи, что поиск по электронной почте будет забрать.

Это проходит мимо. Теперь это ваша ответственность боссов. Если это важно, например, когда люди умрут, когда эта штука потерпит неудачу, пройдите через его голову и доведите вопрос до своего босса. Вы можете быть уволены за то, что просто сдали доллар, и вы все равно можете быть уволены, даже если передадите его, но это правильно. Не совсем так, как на самом деле решение проблемы, но близко.

Филипп
источник
3
Мой голос за вас как генерального директора компании !!!
Wajih
3
@ Чешир Это не было "здравым смыслом", когда это было сначала сделано. Люди по своей природе не ориентированы на безопасность; они должны учиться и постоянно напоминать, что существуют злые придурки, которые существуют только для того, чтобы захватить ваши данные.
Майкл Тодд
3
@ Майкл Тодд: Но это уже не 1996 год. Это является здравым смыслом сейчас, и нет никакого оправдания за это.
Ричард
1
@ Чеширский Согласен. И разработка с учетом безопасности намного лучше, чем тестировать ее впоследствии.
Филипп
1
@Richard DesLonde: Если бы это был здравый смысл, я думаю, я бы видел меньше людей, говорящих, чтобы сделать это правильно.
Дэвид Торнли
12

Чем крупнее корпорация, тем дальше лица, принимающие решения, от любой реальной ответственности.

Зная, как работают корпорации, дизайн сайта, вероятно, был отдан на аутсорсинг какой-то консалтинговой компании, выбранной на основе самой низкой цены на разработчика. Эта компания, в свою очередь, будет нанимать группу случайных людей по схожим критериям, при этом обычный человек останется в проекте не более 3 месяцев, прежде чем его переведут на что-то другое.

Vartec
источник
4
+1 за аутсорсинг. Я не думал об этом. Когда вы находитесь в оффшоре, разработчики разрабатывают именно то , что вы специфицируете, без вопросов, поэтому, возможно, безопасность не была в спецификации.
Ричард
1
@Richard DesLonde: я вижу, ты оптимист.
Дэвид Торнли
@ Дэвид Торнли: Нет, только что испытал. :-)
Ричард
2
@Richard DesLonde: И все твои офшорные проекты делали все, что говорилось в спецификации? Неплохо.
Дэвид Торнли
1
@ Дэвид Торнли: LOL Абсолютно нет. Это была не та часть, которую я подчеркивал. Вы определенно правы, это было слишком оптимистично. :-)
Ричард
4

Как кто-то делает ошибки? Из-за лени, недостатка знаний, недостатка опыта, целесообразности, отсутствия процесса и т. Д. Как мы можем предотвратить ошибки? Благодаря усердию, опыту, гарантиям и т. Д. Эта ситуация категорически не отличается от тысяч мелких ошибок, допущенных каждым программистом; это только отличается по масштабу.

Что мы можем извлечь из этого? Немного.

Рейн Хенрикс
источник
Я думаю, что это другое. Sony зарабатывает миллиарды долларов, и все же они не могут понять эти основные вещи правильно? С этим что-то серьезно не так. И это не только Sony. Внедрение SQL в последнее время взломало многие крупные компании.
Ричард
1
Нет, это действительно не отличается. Решения принимаются людьми, а не компаниями.
Рейн Хенрикс
@Richard: у них всегда была плохая репутация в плане безопасности. Это та же самая компания, которая изобрела руткит Sony, помните?
Мейсон Уилер
2

Одним из возможных объяснений является перекошенный список приоритетов. Многие компании, с которыми я работал, придают большее значение продвижению продукта на рынок, а не качеству продукта / кода, который они производили. Этот эффект удваивается, потому что программисты не только стремятся к завершению, но и отдел QA (если они вообще есть). Я также заметил, что это отношение совпадает с переходом к следующему продукту до того, как предыдущий был завершен, что еще больше усугубляет проблему.

Одним общим знаменателем в каждой из этих компаний был нетехнический менеджмент. Менеджеры проектов, ИТ-менеджеры и менеджеры по продуктам, в основном все, кто имеет мнение о том, над чем работает команда разработчиков, не являются техническими специалистами и не понимают важность создания высококачественного, безопасного кода. Это то, что я ищу, когда беру интервью у компаний сейчас. Кто владеет правлением в приюте, заключенные или врачи?

Я не удивлюсь, если что-то подобное, усугубляемое глубокой бюрократией, будет способствовать возникновению Sony и других проблем безопасности компании.

Джек М.
источник
0

Люди работают в больших компаниях, и люди будут делать ошибки из-за невежества, лени, плохих процедур, плохой документации и т. Д. Размер компании будет влиять только на ошибки, так как может быть больше источников ошибок или ошибок.

Marcelo
источник