私のクライアントは、彼の古い開発者の1人が、過去の開発者が特定の方法でサイトにアクセスできるようにするコードを見つけたと言っています。彼女は、特定の制限された領域にログインし、ユーザーのサインアップなど、サイトで特定のことが起こったときに自分自身に電子メールを送信できるようにするコードを作成しました。
私のクライアントは今、これが起こっていないことを確認したいと思っています。彼は私にすべてのソースコードを調べてこれを行うように依頼しました。これは便利かもしれませんが、過去の開発者がまだサイトにアクセスするためにバックドアのようなものを使用していることを除外するための最良の方法は何ですか?
開発者が意図的および非意図的なバックドアをコードに配置する方法は無数にあります。開発者が熟練している場合、彼らはそれらをうまく隠したり、意図しない間違いのように見える方法でそれらをマスクしたりすることができます。完全なコードレビューは、それ以上のバックドアが存在する可能性が低いという合理的な確実性を達成する唯一の方法です。しかし、バックドアの存在を完全に排除する確実な方法は実際にはありません。
急いでいるときは、完全なコードを1行ずつ調査する前に、少なくとも最も明白なことを除外しようとすることができます。
ちなみに、これは法務部門が取り組むべきトピックかもしれません。アプリケーションのバックドアは契約違反である可能性が高く、管轄区域の重罪である可能性もあります。
過去にクライアントと一緒にいたことがあります-開発者(従業員または請負業者)がサイトにアクセスするためにコードに裏口を残したことを除外するためのいくつかの実用的な対策があります。