Questions tagged «risk»

7
安全修复生产数据库数据
会发生错误,有时必须在生产中修复数据。从大公司的角度来看,最安全的方法是什么?有没有可以帮助的工具?以下是推动此要求的一些注意事项... 我们需要记录谁运行了查询以及他们运行了什么 理想情况下,我们需要授予该人员访问权限,使其只能在短时间内针对感兴趣的表运行查询 无论正在运行什么查询,都需要对此有一些技巧,以防止长时间运行和锁定SQL未经明确许可而运行 此过程需要与DB无关,或者至少了解DB2,Oracle和SQL Server。 我们正在努力减少因执行“错误的事情”而进行临时产品修正查询的风险,同时在此过程中增加一些安全性/听觉性。有想法还是想法?
23 database  risk 

3
清单以避免供应商锁定?
是否有一套行业认可的规则来避免供应商锁定? 我的意思是,可以向经理或其他决策者展示的东西易于理解且易于验证。 是否有任何一套普遍接受的规则,清单或条件集可以帮助以客观,可衡量的方式检测和防止供应商锁定? 你们中的任何人是否曾就项目初期阶​​段供应商锁定的风险警告过经理?

8
IT和软件行业的诉讼越来越多了吗?
在过去的几年中,我一直观察到与新闻相关的IT公司和个人以指数方式呈指数增长,一方面,另一方面,与案件有关的法律问题在网络上的各个方面都向法院提起诉讼。 我非常怀疑人们和公司突然之间开始窃取彼此的想法,但是情况有所不同。是那个吗: 1)平均而言,IT人员正受到更多的法律教育? 2)我错过的各个国家的法律制度发生了一些变化,是造成这种现象的原因吗? 3)现在,IT被视为潜在无限收入的来源,巨魔和律师将注意力转向了IT? 4)还有其他发展吗? 我的问题的第一部分是普通开发人员应如何应对这种干扰趋势: a)像以前一样继续进行,忽略一切合法的 b)接受有关IT的本地和国际法律教育 c)在尝试进行任何与编程相关的工作之前,请始终获取专业的法律建议 d)对于任何类型的项目,即使是最基本,最无害的项目,也要注册有限责任公司以保护自己 一第二部分是一个更大的一个:它如何影响所有IT企业和初创企业: e)是否有新公司处于潜在风险中?如果是这样,这种风险是像美国拥有其所有软件专利一样,还是全球性的? f)任何新公司都可以生存而无需一开始就聘请律师并申请所有可能的专利吗? g)选择一家在其法律法规中支持软件专利的地点是否是新公司注册的风险因素? 我承认我的问题很复杂,但是手头的事情更加复杂。如果您看到任何重组的潜力,那就欢迎您。 我也在寻求全球或当地市场的任何投入。我们将从特定的案例中找出共同点。
22 business  legal  startup  risk 

4
内部代码是否应与组织中的非开发人员共享?
在我工作的地方,我们有很多开发人员,并且有大量代码在运行我们的员工和客户使用的专有应用程序。 我们也有很多聪明的支持人员,他们希望了解我们系统的内部工作原理,以便更好地为客户提供支持,甚至不时提交补丁。 我们是否应该开放我们的代码以供非开发人员阅读?做出此决定时,应考虑哪些因素?我以各种方式遇到了很多论点和反论点,并希望根据他人的经验以及容易理解的风险来做出决定。 迄今为止的一些争论: VCS中的密码是公开的(解决方案:删除密码-不应从那里开始) 代码对白盒安全攻击开放(反参数:这只能阻止诚实/懒惰的攻击者) 支持人员可以询问开发人员“工作”的方式(计数器:教男人钓鱼等) 是否有人向其组织的员工开放代码?有什么问题吗?

8
惩罚用户输入不安全的密码[关闭]
按照目前的情况,这个问题并不适合我们的问答形式。我们希望答案得到事实,参考或专业知识的支持,但是这个问题可能会引起辩论,争论,民意调查或扩展讨论。如果您认为此问题可以解决并且可以重新提出,请访问帮助中心以获取指导。 6年前关闭。 我正在考虑限制选择不安全密码的用户的权限(密码的不安全性由长度,使用的字符类型(大/小写,数字,符号等)决定,是否可以使用)。 (位于彩虹表中)以限制帐户遭到破坏后所造成的损失。 我还没有这个想法的申请,但是说我正在写一个论坛之类的东西:使用1234作为密码的用户可能必须在发布前填写验证码,否则将受到诸如此类的严格反垃圾邮件措施的约束。作为超时或贝叶斯过滤器拒绝其内容。如果此论坛是非常分层的,允许“提升”主持人或通过某种方式进行的其他活动,这将阻止他们完全获得特权或告诉他们他们具有特权,但不允许他们在不进行任何更改的情况下行使其特权。密码。 当然,这不是唯一的安全措施,但是它可以很好地替代其他良好的安全做法。 你怎么看?这是否只是做的太过分,将注意力从更重要的安全实践上转移了下来,还是限制风险并鼓励用户使用更安全的密码的一种好方法(并希望说服您正在使用良好的安全实践的人们)?

7
对于非关键任务而言,端到端和集成测试值得吗?
众所周知,端到端和集成测试成本很高。当然,如果我们开发应用程序,如果出现问题,人们可能会因此丧命,这是值得的投资。但是,在错误不是世界末日的应用程序中,完全跳过E2E测试和集成测试并在出现问题时制定备份计划会不会更便宜?像手动测试用户故事+单元测试+使用静态类型的语言是否足够? 例如,如果某个网上商店丢失了订单,他们可以改为免费发送该商品+道歉。最终用户可能会更开心,这样公司总体上可以节省金钱。 我想我的问题是,总体而言,集成测试和E2E测试的成本是多少?节省多少钱?有没有办法对此进行风险/成本计算?
9 testing  qa  pricing  risk 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.