一家大公司如何犯新秀错误而留下安全漏洞?[关闭]


15

索尼最近遭到SQL注入攻击,其用户的密码以纯文本格式存储。这些是菜鸟的错误。在这么大的公司中,这如何通过质量检查?他们怎么没有更好的团队呢?

被黑客入侵的公司的绝对规模使情况有所不同。它影响到我们所有人,因为我们都有一天可能会发现自己在一支负责此类事情的团队中,然后我们得到了斧头。那么,导致这种情况的因素是什么,我们如何防止它们呢?


这个问题并没有根据事实和参考提出建设性的答案:这是关于索尼公司多么糟糕的各种猜测的清单。有关处理SQL注入,QA和安全性的步骤的几个问题,请参阅相关的问题侧栏。(为清除接近的投票而道歉:当我因错误的原因意外关闭时,有3个“非建设性”的接近投票)

评论员:评论旨在寻求澄清,而不是进行扩展讨论。如果您想与他人讨论这个问题,请使用chat。有关更多信息,请参见FAQ

4
@Mark Odd,它已经获得了一些非常有建设性的答案,这很可能与商标很接近。也就是说,一个更好的问题是:“为什么没有法律来惩罚这么大公司中的这种

3
这个问题再次被关闭很奇怪。德拉科尼亚人。再次。
理查德

Answers:


24

首先想到的是,因为它们足够大,可以发展出几层官僚机构。这意味着,除其他外,您不再拥有真正的聪明编码人员来负责招聘过程,这意味着他们失去了淘汰潜在的程序员和能力不胜任的QA人员的能力。这导致不良代码被编写并投入生产,我们都知道接下来会发生什么...


3
我认为您在官僚机构中打了个头,但是由此产生了其他问题。如果您有一个聪明的开发人员发现了重大问题,则需要采取行动才能获得批准才能进行修复,进行测试并将其投入生产。所有要做的就是让官僚机构中的一个人认为进行更改的风险(其他项目的延误,生产错误等)大于不进行更改的风险(谁可以入侵这么大的公司?)。
梅奥

18

因为没有要求程序员进行测试,而严峻的企业文化也没有给他们足够的回旋余地,以使他们的职业道德意识发扬光大,并要求再过几周来测试安全漏洞。还是要坚持从一开始就是安全的。

因为老板不想出于任何原因花额外的几个星期测试安全性问题。在年底有额外的奖金。从下一个部门出现约翰逊。吹牛的权利。对公司的责任。懒惰。不信任下属的建议。

因为大老板要求更多的利润,并提拔约翰逊胜过鲍勃,因为他的数字看起来更好,而不是要求更好的产品。因为质量和安全性是很难在电子表格上显示的值。因为公司的存在是为了赚钱。

这样的事情是系统的问题。归结为“因为他们是傻瓜”。

编辑 程序员可以在注意到不足的情况下,将问题提交给老板,从而避免成为牺牲者。他会做正确的事情并制定修复计划,或者告诉您忽略它。如果他没有解决此问题,请使其正式化,并通过电子邮件询问。在这种情况下,请使用与该问题相关的关键字,例如“漏洞”,“注入”,“违反安全性”。电子邮件搜索将得到的东西。

这正在推卸责任。现在是您老板的责任。如果这很重要,就像人们在事情失败时会死掉一样,那就抬起头,向老板提出问题。您可以仅因推卸责任而被解雇,即使您确实将其遗忘也可以被解雇,但这是正确的做法。不像实际解决问题那样正确,但是很接近。


3
我对您担任公司首席执行官一票!!
Wajih 2011年

3
@Cheshire第一次完成时不是“常识”。人们并不是天生就有安全意识的。他们必须学习,并不断提醒他们,那里存在一些恶作剧,这些恶作剧只是为了抓住您的数据而存在。
Michael Todd

3
@迈克尔·托德:但这已经不是1996年了。现在这常识,没有任何借口。
理查德

1
@柴郡同意。考虑到安全性,进行开发要比随后进行测试要好得多。
菲利普(Philip)

1
@Richard DesLonde:如果这是常识,我想我会看到越来越少的人说正确做这件事。
David Thornley

12

公司越大,决策者就越远离现实生活中的责任。

了解了公司的工作方式后,网站设计可能会外包给根据每位开发人员最低价格选择的咨询公司。该公司反过来会按照类似的标准雇用一群随机的人,让普通人在项目中停留不超过3个月,然后轮换到其他人。


4
+1为外包。我没想到。当您离岸时,开发人员将完全按照您的要求进行开发,而不会提出任何问题,因此安全性可能不在规范之内。
理查德

1
@Richard DesLonde:我看到你是个乐观主义者。
David Thornley

@David Thornley:不,只是经验丰富。:-)
理查德

2
@Richard DesLonde:您所有的离岸项目都按照规范的要求进行了吗?不错。
David Thornley

1
@David Thornley:大声笑绝对不是。那不是我要强调的部分。您绝对正确,那有点太乐观了。:-)
理查德

4

谁会犯错误?通过懒惰,缺乏知识,缺乏专业知识,权宜之计,缺乏流程等,我们如何预防错误?通过勤奋,经验,保护措施等。这种情况与每个程序员所犯的数千个小错误完全不同。只是规模不同而已。

我们可以从中学到什么?不多。


我认为是不同的。索尼赚了数十亿美元,但他们不能把这些基本的东西做好吗?这有严重的问题。不只是索尼。最近,许多大公司都被SQL注入攻击。
理查德

1
不,真的没什么不同。决策是由人而不是公司做出的。
Rein Henrichs

@Richard:他们的安全记录一直很差。这是发明Sony rootkit的公司,还记得吗?
梅森惠勒

2

一种可能的解释是偏斜的优先级列表。与我合作过的许多公司都更加重视将产品推向市场,而不是他们生产的产品/代码的质量。由于程序员不仅急于完成工作,而且QA部门(如果他们甚至有一个)也急于完成,因此这种效果加倍。我还注意到,这种态度与在完成前一个产品之前推出下一个产品不谋而合,使问题更加复杂。

这些公司中的每一个的共同点是非技术管理。项目经理,IT经理和产品经理,基本上每个在开发团队的工作上都有发言权的人都是非技术人员,也不了解产生高质量,安全的代码的重要性。这是我现在采访公司时要寻找的东西。谁来主持庇护,囚犯或医生?

如果类似的事情,加上深厚的官僚作风,成为索尼和其他公司安全问题的成因,我也不会感到惊讶。


0

人们在大公司工作,由于无知,懒惰,糟糕的程序,不良的文档等原因,人们会犯错。公司的规模只会影响错误,因为错误或错误的来源可能更多。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.