Comment une grande entreprise fait-elle des erreurs de recrue qui laissent des trous de sécurité?
Sony a récemment été piraté avec une injection SQL et les mots de passe de leur utilisateur ont été stockés dans un texte brut. Ce sont des erreurs de recrue. Dans une telle entreprise, comment cela passe-t-il QA? Comment n'ont-ils pas de meilleures équipes que de savoir mieux que cela?
La taille pure de la société qui a été piratée en fait de cela différent. Cela nous concerne tous parce que nous pouvons tous un jour nous trouver une équipe responsable de quelque chose comme ça, puis nous obtenons la hache. Alors, quels sont les facteurs qui mènent à cela et comment les empêchons-nous?
Parce que les programmeurs n'étaient pas invités à tester pour cela et la culture d'entreprise écrasante ne leur donnait pas assez de marge de manœuvre pour avoir le sens de l'éthique professionnelle et exiger une autre plusieurs semaines pour tester les vulnérabilités de sécurité. Ou d'insister pour qu'ils soient en sécurité depuis le début.
Parce que le patron ne voulait pas passer quelques semaines supplémentaires à tester des problèmes de sécurité ... Quelle que soit la raison. Un bonus supplémentaire à la fin de l'année. Montrant Johnson du prochain département. Droits qui se vanter. Devoir envers la société. Paresse. Méfiance envers les conseils de Solder.
Parce que le grand patron a exigé plus de bénéfices et promu Johnson sur Bob parce que son chiffre avait l'air mieux que par opposition à exiger un meilleur produit. Parce que la qualité et la sécurité sont des valeurs difficiles à afficher sur une feuille de calcul. Parce que les sociétés existent pour gagner de l'argent.
Des choses comme ceci sont un problème systématique. Cela se résume à "parce qu'ils sont des imbéciles".
EDIT Les programmeurs peuvent éviter d'être la chèvre sacrificielle, lors de la notation d'une carence, évoquez la question de leur patron. Il fera sûrement la bonne chose et faire un plan pour le réparer ou vous dire de l'ignorer. S'il ne le répare pas, faites-le officiel, posez-vous à ce sujet dans un e-mail. Utilisez des mots-clés pertanents à la question, comme la "vulnérabilité", "injection", "brèche de sécurité" dans ce cas. Trucs pour qu'une recherche par e-mail ramasserait.
Cela passe le buck. C'est maintenant votre responsabilité de vos patrons. Si c'est important, comme les gens vont mourir quand cette chose échoue, passez la tête et soulevez la question à son patron. Vous pouvez être tiré pour simplement passer le buck, et vous pouvez toujours vous faire tirer, même si vous le transmettez, mais c'est la bonne chose à faire. Pas tout à fait aussi vrai que réellement le problème, mais fermer.
Plus la société est grande, plus éloignée des décideurs provient de toute responsabilité réelle.
Savoir comment les sociétés travaillent, la conception du site était probablement externalisée à une société de conseil choisie sur la base du prix le plus bas par développeur. Cette société embaucherait à son tour des groupes aléatoires sur des critères similaires, avec une personne moyenne restant sur le projet au plus 3 mois avant d'être tournée vers quelque chose d'autre.
Une explication possible est une liste de priorités asymétrique. De nombreuses entreprises avec lesquelles j'ai travaillé ont mis plus d'importance à obtenir un produit sur le marché, plutôt que la qualité du produit/code qu'ils produisaient. Cet effet est doublé car non seulement les programmeurs se sont précipités à l'achèvement, mais le département QA (si elles en ont même une). J'ai également remarqué que cette attitude coïncide avec la poussée sur le produit suivant avant la fin du préalable, aggravant le problème encore plus loin.
Un dénominateur commun dans chacune de ces sociétés a été une gestion non technique. Les gestionnaires de projet, les gestionnaires informatiques et les gestionnaires de produits, fondamentalement, tout le monde a déclaré que l'équipe de développement fonctionne, sont toutes non techniques et ne comprennent pas l'importance de produire de haute qualité, sécurisée, code. C'est quelque chose que je cherche lorsque j'interviewe avec des entreprises maintenant. Qui détient le règne à l'asile, aux détenus ou aux médecins?
Je ne serais pas surpris que quelque chose de similaire, aggravé par une bureaucratie profonde, des facteurs contribuaient dans les problèmes de sécurité de Sony et d'autres sociétés.
Les gens travaillent dans de grandes entreprises et les gens vont faire des erreurs, étant hors de l'ignorance, de la paresse, de mauvaises procédures, de la mauvaise documentation, etc. La taille de la société n'aura qu'une incidence sur les erreurs qu'il peut y avoir plus de sources d'erreurs ou d'erreurs.