In che modo una grande azienda commette errori da principiante che lasciano buchi alla sicurezza? [chiuso]

Sony è stata recentemente violata con un'iniezione SQL e le password dei loro utenti sono state memorizzate in testo semplice. Questi sono errori da principianti. In un'azienda così grande, come passa il QA? Come possono non avere squadre migliori di sapere meglio di così?

La vastità dell'azienda che è stata hackerata rende questo diverso. Colpisce tutti noi perché un giorno potremmo trovarci in una squadra che è responsabile di qualcosa del genere, e quindi prendiamo l'ascia. Quindi quali sono i fattori che portano a questo e come possiamo prevenirli?

La prima cosa che viene in mente è, perché sono abbastanza grandi da far crescere alcuni strati di burocrazia. Ciò significa, tra le altre cose, che non hai più programmatori veramente intelligenti incaricati del processo di assunzione, il che significa che perdono la loro capacità di estirpare potenziali programmatori e addetti al QA che sono incompetenti. Il che porta alla scrittura di codice errato e alla sua produzione, e sappiamo tutti cosa succede dopo ...

Perché ai programmatori non è stato detto di provarlo e la schiacciante cultura aziendale non ha dato loro un margine di manovra sufficiente per far entrare il loro senso di etica professionale e richiedere un altro paio di settimane per testare le vulnerabilità della sicurezza. O insistere sul fatto che siano sicuri fin dall'inizio.

Perché il capo non voleva passare un paio di settimane extra a testare problemi di sicurezza per ... qualunque sia la ragione. Un bonus extra alla fine dell'anno. Presentare Johnson dal prossimo dipartimento. Vantarsi dei diritti. Dovere verso l'azienda. Pigrizia. Diffidenza del consiglio di underling.

Perché il grande capo ha richiesto maggiori profitti e ha promosso Johnson su Bob perché i suoi numeri sembravano migliori invece di chiedere un prodotto migliore. Perché qualità e sicurezza sono valori difficili da visualizzare su un foglio di calcolo. Perché le società esistono per fare soldi.

Cose come questa sono un problema sistematico. Si riduce a "perché sono sciocchi".

Modifica I programmatori possono evitare di essere la capra sacrificale, dopo aver notato una carenza, portare il problema al proprio capo. O farà la cosa giusta e farà un piano per risolverlo, o ti dirà di ignorarlo. Se non lo risolve, rendilo ufficiale, chiedilo via e-mail. In questo caso utilizzare parole chiave correlate al problema, come "vulnerabilità", "iniezione", "violazione della sicurezza". Roba che una ricerca e-mail avrebbe raccolto.

Questo sta passando il dollaro. Ora è responsabilità dei tuoi capi. Se è importante, come se le persone morissero quando questa cosa fallisce, vai oltre la sua testa e porta la questione al suo capo. Puoi essere licenziato semplicemente per aver passato il dollaro, e puoi ancora essere licenziato anche se lo passi, ma è la cosa giusta da fare. Non proprio come risolvere il problema, ma vicino.

Più grande è la società, più lontani sono i responsabili delle decisioni da qualsiasi responsabilità nella vita reale.

Sapendo come funzionano le aziende, la progettazione del sito è stata probabilmente affidata in outsourcing ad alcune società di consulenza scelte in base al prezzo più basso per sviluppatore. A sua volta, quella società avrebbe assunto un gruppo di persone a caso secondo criteri simili, con una persona media che rimaneva sul progetto per non più di 3 mesi prima di essere ruotata su qualcos'altro.

Come si commettono errori? Attraverso la pigrizia, la mancanza di conoscenza, la mancanza di competenza, la convenienza, la mancanza di processo, ecc. Come possiamo prevenire gli errori? Attraverso diligenza, esperienza, garanzie, ecc. Questa situazione non è diversa categoricamente dalle migliaia di piccoli errori commessi da ogni programmatore; è solo diverso in scala.

Cosa possiamo imparare da questo? Non tanto.

Una possibile spiegazione è un elenco di priorità distorto. Molte aziende con cui ho lavorato hanno dato maggiore importanza alla commercializzazione di un prodotto, piuttosto che alla qualità del prodotto / codice che stavano producendo. Questo effetto è raddoppiato perché non solo i programmatori si affrettano al completamento, ma lo è anche il dipartimento QA (se ne ha anche uno). Ho anche notato che questo atteggiamento coincide con il passaggio al prodotto successivo prima che il precedente fosse completato, aggravando ulteriormente il problema.

Un denominatore comune in ciascuna di queste società è stato la gestione non tecnica. Project Manager, IT Manager e Product Manager, praticamente tutti quelli che hanno voce in capitolo su ciò su cui lavora il team di sviluppo, sono tutti non tecnici e non comprendono l'importanza di produrre codice di alta qualità, sicuro. Questo è qualcosa che cerco quando intervisto con le aziende ora. Chi detiene il regno del manicomio, dei detenuti o dei dottori?

Non sarei sorpreso se qualcosa di simile, aggravato dalla profonda burocrazia, stesse contribuendo a fattori di sicurezza di Sony e di altre società.

Le persone lavorano in grandi aziende e le persone commettono errori, per ignoranza, pigrizia, cattive procedure, cattiva documentazione, ecc. Le dimensioni dell'azienda influiranno solo sugli errori in quanto possono esserci più fonti di errori o errori.