Answers:
经理的责任是管理风险。
当在Gmail中发现跨脚本安全漏洞时,这会给团队迅速解决这一非常严重的风险。因为有数百万的Gmail用户,所以如果我编写了一个利用此漏洞的Web应用程序,则很有可能我的Web应用程序的用户可能正在使用Gmail并可能在另一个选项卡中打开它。因此,作为网络钓鱼者,构建这样的应用程序来访问用户数据可能对我来说值得。
您的经理可能问自己的问题是:此安全漏洞的风险有多大?针对此特定站点上的此特定安全漏洞的Web应用程序的可能性有多大?访问我们网站的员工也正在使用此第三方网站有什么风险?
以我的经验,如果您的网站流量不高,那么风险就不大。
您的老板可能会认为,不解决此特定安全漏洞(可能会或可能不会成为问题)的机会成本是,他或她可以将资源集中在可以帮助业务发展并产生收入的活动上。
话虽这么说,但有一个与此非常相似的问题,就是Github被黑客入侵,项目管理SE上存在一个从项目管理角度涵盖此主题的问题。入侵了Github的用户与您的情况相似,他的Github特权被暂停了一段时间。
我对您的问题是:如果站点确实关闭,您的业务将会如何?您甚至会看到利用此安全漏洞的可能性有多大?
如果您确实选择这样做,则需要客观地获得证据,证明这是对企业生存能力的非常现实的,迫在眉睫的威胁。
以下是获取证据证明这是一个实际问题的一些建议:
执行Google搜索,查找新闻报道,博客或因类似的相关安全漏洞而遇到重大问题的公司的其他经历。证明这确实是代替其他商机值得解决的风险。
与团队中的其他技术人员讨论并获得他们的见解。如果问题确实很严重,您应该可以找到其他人也可以为您提供支持。如果没有,那么您的担忧就没有根据,或者您的公司文化中存在重大安全性问题。
与您的IT部门讨论其他修补漏洞的方案,这些方案涉及较快速解决方案,尽管这种解决方案虽然不理想,但可以减轻风险并让您放心,而不会破坏公司的储蓄罐。有时,少量的工作可以帮助消除一些风险,即使不是全部。
如果以上几点都不起作用,那么我考虑放手,并知道这些问题将只是业务风险管理的正常部分。
如果您有权益,请推动安排每周或每月的会议以审查安全性问题,然后这可能只是该议程中的一个项目。将焦点从特定问题转移到一般领域通常是一种有效的技术。
如果您没有权益,请继续。
您已向管理人员提出了问题,并且已经通过。如果对您很重要,则可以重试。再说一次,如果它真的很重要。如果真的很重要,那就换一份工作,并告诉潜在的雇主为什么。那些最看重道德的人可能会欣赏它。
还请记住,如果您提出问题并获得“否”,那么您现在将面对改变人们的想法,这是非常困难的。我会沿着让他们同意你的方式走的。例如:“我们都希望公司成功”。是。“我知道我们俩都关心安全性”。是。“我们知道解决此类问题的预算非常有限”。是。了解其中一些内容,然后开始着手制定一些时间表以进行安全修复。
另一种“较软”的方法是同意您没有时间/资源来执行此操作。但是您能否在达成协议的日期推动达成协议。可以是一周,一个月或六个月。通常时间过得很快,然后您在那里。