web-dev-qa-db-ja.com

大企業はどのようにしてセキュリティホールを残す新人の過ちを犯しますか?

ソニーは最近、SQLインジェクションでハッキングされ、ユーザーのパスワードはプレーンテキストで保存されていました。これらは新人の間違いです。そのような大企業で、これはどのようにQAに合格しますか?彼らはこれよりもよく知るよりも良いチームを持っていないのですか?

ハッキングされた会社の規模の大きさにより、これは異なります。私たち全員がいつかこのようなことに責任を持つチームに自分自身を見つけ、それから私たちは斧を手に入れるかもしれないので、それは私たち全員に影響を与えます。それでは、これにつながる要因は何ですか、そしてどのようにしてそれらを防ぐのでしょうか?

15
richard

最初に頭に浮かぶのは、数層の官僚機構を成長させるのに十分な大きさだからです。これは、とりわけ、採用プロセスを担当する本当に賢いコーダーがいないことを意味します。つまり、能力のない潜在的なプログラマーやQA担当者を排除する能力が失われます。これは悪いコードが書かれて本番環境に入ることにつながり、私たちは誰もが次に何が起こるか知っています...

24
Mason Wheeler

プログラマーはそれをテストするように言われなかったし、圧倒的な企業文化は彼らにプロの倫理感を発揮させ、セキュリティの脆弱性をテストするためにさらに数週間を要求する十分な余裕を与えなかったためです。または、最初から安全であることを主張します。

上司がセキュリティ上の問題をテストするためにさらに2、3週間を費やすことを望まなかったからです...なんらかの理由があります。年末の追加ボーナス。ジョンソンを次の部署から紹介します。自慢する権利。会社への義務。怠惰。部下の忠告に対する不信感。

ビッグボスがより多くの利益を要求し、ボブよりもジョンソンを昇格させたのは、彼の数がより良い製品を要求するのではなく、見栄えが良かったからです。品質とセキュリティはスプレッドシートに表示するのが難しい値だからです。お金を稼ぐために企業が存在するからです。

このようなことは体系的な問題です。つまり、「彼らは愚か者だから」です。

編集プログラマーは、欠陥に気づいたときに上司に問題を提起することで、犠牲の山羊になることを回避できます。彼は正しいことをしてそれを修正する計画を立てるか、あなたにそれを無視するように言うでしょう。彼がそれを修正しない場合、それを公式にして、それについて電子メールで尋ねてください。この場合、「脆弱性」、「インジェクション」、「セキュリティ侵害」など、問題に関連するキーワードを使用します。メール検索で取り上げられるもの。

これは見返りです。今ではあなたの上司の責任です。それが失敗したときに人々が死ぬようにそれが重要である場合、彼の頭を越えて上司に問題を持ち出してください。単に金を渡すだけで解雇される可能性があり、それを渡したとしても解雇される可能性がありますが、それは正しいことです。実際に問題を修正するほどではありませんが、終了します。

18
Philip

企業が大きくなるほど、意思決定者は現実の責任から遠ざかります。

企業の仕組みを知っているため、サイトのデザインはおそらく、開発者1人あたりの最低価格に基づいて選択されたコンサルティング会社に外部委託されていました。その会社は、同様の基準でランダムな人々を多数雇用し、平均的な人は他の何かにローテーションされる前に3か月以上プロジェクトに滞在しませんでした。

12
vartec

誰がどのように間違いを犯しますか?怠惰、知識の欠如、専門知識の欠如、経験、プロセスの欠如など。どのようにしてミスを防ぐのでしょうか。勤勉、経験、セーフガードなどを通じて。この状況は、すべてのプログラマーが犯した何千もの小さな間違いと全く同じです。規模が異なるだけです。

これから何を学ぶことができますか?あまりない。

4
Rein Henrichs

考えられる理由の1つは、歪んだ優先順位リストです。私が協力してきた多くの企業は、製品やコードの品質よりも、製品の市場投入を重視しています。プログラマーが急いで完了するだけでなく、QA部門も(もしあれば)いるため、この効果は2倍になります。この態度は、前の製品が完成する前に次の製品に取り掛かることと一致しており、問題がさらに悪化していることにも気づきました。

これらの各企業の共通点は、技術以外の管理です。プロジェクトマネージャー、ITマネージャー、プロダクトマネージャーは、基本的には開発チームが取り組んでいることに発言権を持つ全員が技術者ではなく、高品質で安全なコードを作成することの重要性を理解していません。これは私が今企業にインタビューするときに私が探しているものです。亡命者、受刑者、または医師の支配権を握るのは誰ですか?

深い官僚主義によって複雑化された同様の何かがソニーや他の会社のセキュリティ問題の要因になっていたとしても、私は驚かないでしょう。

2
Jack M.

人々は大企業で働いており、無知、怠惰、不適切な手順、不適切な文書などによって、人々はミスを犯します。企業の規模は、エラーやミスの原因が増える可能性があるという点でミスにのみ影響します。

0
Marcelo