Sendo o criador de um programa, você provavelmente está em uma posição melhor do que qualquer um para estar ciente das vulnerabilidades de segurança e possíveis hacks. Se você conhece uma vulnerabilidade em um sistema que você escreveu, isso é um sinal de que o aumento da segurança DEVE ser adicionado antes do lançamento, ou isso deve ser avaliado caso a caso para determinar a gravidade da lacuna de segurança?
12
Respostas:
Eu diria que isso deve ser feito caso a caso. Você é o autor, conhece muitos dos buracos. Algumas vulnerabilidades podem ser conhecidas apenas por você. Obviamente, isso significa que, se alguma delas for explorada, você poderá ter algumas perguntas difíceis a serem respondidas; portanto, é uma boa ideia reduzir essas vulnerabilidades, se possível. Mais importante é se alguém pode facilmente hackear como um sistema de caixa preta.
fonte
Eu tive a infeliz experiência de estar na situação duas vezes. Os negócios em ambos os casos lançavam produtos com sérios problemas de segurança com dados muito sensíveis.
Nos dois casos, os negócios não pareciam se importar, apesar dos meus melhores esforços para conscientizá-los dos riscos que estavam assumindo.
A única coisa que você pode fazer é protestar o mais alto possível * (e profissionalmente), sendo o mais claro possível sobre as possíveis consequências e enquanto estiver fazendo esse documento tudo . Imprima seus e-mails relevantes em PDFs e mantenha esses arquivos em casa, ou bcc seu endereço de e-mail pessoal, ou como você o fizer. Esta é a única solução para quando algo ruim acontece inevitavelmente.
Você esperaria que a gerência o respeitasse por seus conselhos técnicos e levasse isso em consideração, mas, infelizmente, você deve respeitar quem quer que seja o tomador de decisão no final do dia. Más decisões de negócios são tomadas todos os dias.
Edit: jasonk mencionou "Por favor, tenha muito cuidado ao confirmar seu endereço residencial", e eu concordo muito. Por favor, não viole a política da empresa e corra o risco de divulgar a vulnerabilidade de segurança mais do que já é.
fonte
Eu argumentaria o contrário - sendo o criador, você frequentemente está muito perto do código para ver vulnerabilidades.
Se você conhece ou é informado sobre vulnerabilidades, elas são como qualquer outro bug - avalie, priorize e corrija.
fonte
Penso que a resposta depende do grau de dano que surgiria se o sistema fosse comprometido por um hacker malicioso. Obviamente, um engenheiro civil não poderia aprovar o projeto de uma ponte insegura em sã consciência. A construção dessa ponte pode resultar em ferimentos ou morte. Também seria ilegal para o engenheiro conscientemente fazer isso, mas o fato de que os engenheiros de software (pelo menos nos EUA) não estejam legalmente vinculados da mesma maneira não os isenta do dever profissional de se posicionar contra sistemas defeituosos. Infelizmente, sua empresa pode não precisar da sua assinatura para lançar o software.
Você não especifica a natureza exata do sistema em que está trabalhando. Se estiver relacionado a registros médicos, bancos, controle de tráfego aéreo ou alguma outra infraestrutura realmente crítica, eu diria que você estaria bem justificado em insistir no mais alto nível de segurança possível antes do lançamento.
fonte
Sim, você deve corrigi-lo antes do lançamento. Nunca subestime a ingenuidade de um hacker. Você sairia de férias por uma semana com a porta dos fundos aberta? Sua desculpa seria,
"Oh, está nos fundos e não fica de frente para a rua. Ninguém a veria aberta ..."
Provavelmente não.
Mas eu entendo hoje em dia com o PM sem noção como a data de lançamento mais sagrada é mais importante do que uma questão potencialmente enorme de responsabilidade com segurança. Se esse for o seu caso, sugiro chamar a atenção, registrar o problema, garantir que ele esteja bem documentado, bem conhecido e com os riscos explicados claramente e deixe o PM decidir o que fazer.
Se o PM tomar uma péssima decisão e decidir ignorá-la e prosseguir com a liberação dentro do prazo, você estará isento de responsabilidade desde que tocou o apito.
Caso contrário, se você encontrar e guardar para si mesmo e algo acontecer, você poderá ser pessoalmente responsabilizado pelas consequências.
A escolha é sua.
fonte