대기업은 보안 허점을 남기는 신인 실수를 어떻게합니까? [닫은]


15

소니는 최근 SQL 삽입으로 해킹 당했으며 사용자 암호는 일반 텍스트로 저장되었습니다. 신인 실수입니다. 이러한 대기업에서는 이것이 QA를 어떻게 통과합니까? 이보다 더 잘 아는 것보다 더 나은 팀이없는 이유는 무엇입니까?

해킹당한 회사의 규모만으로도이 점이 다릅니다. 언젠가는 이런 일을 담당하는 팀에서 우리 자신을 찾아 도끼를 얻을 수 있기 때문에 우리 모두에게 영향을 미칩니다. 그렇다면 이로 인해 발생하는 요인은 무엇이며 어떻게 방지 할 수 있습니까?


이 질문은 사실과 참고 자료를 바탕으로 건설적인 답변을 초대하지 않았습니다. 소니가 얼마나 엉터리인지에 대한 다양한 추측의 목록입니다. SQL 삽입, QA 및 보안을 처리하는 단계에 대한 몇 가지 질문은 관련 질문 사이드 바를 참조하십시오. (닫힌 투표 수를 지우는 것에 대한 사과 : 내가 실수로 잘못 닫았을 때 3 개의 "건설적이지 않은"가까운 투표가

해설자 : 의견은 설명을 확대하기위한 것이지 확장 된 토론을위한 것이 아닙니다. 이 질문에 대해 다른 사람들과 논의하고 싶다면 chat을 사용하십시오 . 보다 은 FAQ 를 참조하십시오.

4
@ Mark Odd, 그것은 엄청나게 건설적인 답변을 얻었습니다. 더 좋은 질문은“대기업에서 그러한 무모한 행동을 처벌 할 법이없는 이유는 무엇입니까?”
Konrad Rudolph

3
이 질문이 다시 닫히는 것이 다소 이상합니다. 드라코 니안. 다시.
richard

답변:


24

가장 먼저 떠오르는 것은 몇 층의 관료주의를 키울만큼 충분히 크기 때문입니다. 이는 무엇보다도 더 이상 채용 프로세스를 담당하는 똑똑한 코더가 없다는 것을 의미합니다. 즉, 잠재적 프로그래머와 무능한 QA 직원을 제거하는 능력이 상실됩니다. 잘못된 코드가 작성되어 프로덕션 환경으로 전환되면 다음에 어떤 일이 발생하는지 알고 있습니다.


3
관료주의로 머리에 못을 박았다고 생각하지만 다른 문제도 있습니다. 중대한 문제를 발견 한 현명한 개발자가 있다면 수정 작업에 대한 승인을 받고 테스트를 거쳐 프로덕션으로 옮기는 데 하나님의 행동이 필요합니다. 관료주의의 한 사람이 변화를 일으킬 위험 (다른 프로젝트의 지연, 생산 오류 등)이 변화를 만들지 않을 위험보다 크다고 생각하기 만하면됩니다.
Mayo

18

프로그래머들에게 그 사실을 시험하라는 말을 듣지 않았고, 쇄도하는 기업 문화는 그들에게 직업 윤리에 대한 감각이 생기고 보안 취약점을 테스트하기 위해 몇 주를 더 요구할 충분한 여지를주지 않았기 때문입니다. 또는 처음부터 안전하다고 주장하십시오.

상사는 어떤 이유로 든 보안 문제를 테스트하기 위해 몇 주를 더 보내고 싶지 않았기 때문입니다. 연말에 추가 보너스. 다음 부서에서 Johnson을 보여줍니다. 자랑 권리. 회사에 대한 의무. 게으름. 언더 링의 조언에 대한 불신.

대기업은 더 많은 이익을 요구하고 Bob보다 Johnson을 승진 시켰기 때문에 그의 제품은 더 나은 제품을 요구하는 것보다 좋아 보였기 때문입니다. 품질과 보안은 스프레드 시트에 표시하기 어려운 값이기 때문입니다. 기업은 돈을 벌기 위해 존재하기 때문입니다.

이와 같은 것은 체계적인 문제입니다. 그것은 "그들이 바보이기 때문에"로 귀결됩니다.

편집하다 프로그래머는 부족함을 알아 차리고 상사에게 문제를 제기함으로써 희생 염소가되는 것을 피할 수 있습니다. 그는 옳은 일을하고 그것을 고칠 계획을 세우거나 무시하라고 말할 것입니다. 그가 고치지 않으면 공식적으로 작성하고 이메일로 문의하십시오. 이 경우 "취약성", "주입", "보안 위반"과 같은 문제와 관련된 키워드를 사용하십시오. 전자 우편 검색을하는 것.

이것은 벅을 통과합니다. 이제는 상사의 책임입니다. 이 일이 실패했을 때 사람들이 죽는 것처럼 중요한 경우, 머리 위로 가서 문제를 상사에게 제기하십시오. 벅을 통과 한 것만으로 해고 당할 수 있으며, 지나친 경우에도 여전히 해고 당할 수는 있지만 옳은 일입니다. 실제로 문제를 해결하는 것만 큼 옳지는 않지만 가깝습니다.


3
회사의 CEO로서 당신에 대한 내 투표 !!!
와지

3
@Cheshire 처음에는 "상식"이 아니었다. 사람들은 본질적으로 보안을 염두에 두지 않습니다. 그들은 당신의 데이터를 얻기 위해 존재하는 사악한 저크가 있다는 것을 배우고 끊임없이 상기시켜야합니다.
Michael Todd

3
@ Michael Todd : 그러나 이것은 더 이상 1996 년이 아닙니다. 이것은 이다 이제 상식, 그리고 그것에 대한 변명은 없다.
richard

1
@Cheshire 합의. 그리고 보안을 염두에두고 개발하는 것이 나중에 테스트하는 것보다 훨씬 낫습니다.
Philip

1
@Richard DesLonde : 상식이라면, 제대로하지 않는 사람들이 점점 줄어들 것 같습니다.
David Thornley

12

회사가 클수록 의사 결정자는 실제 책임에서 멀어집니다.

회사의 작동 방식을 알면 사이트 디자인은 개발자 당 최저 가격을 기준으로 선택한 일부 컨설팅 회사에 아웃소싱했을 것입니다. 그 회사는 비슷한 기준에 따라 무작위로 많은 사람들을 고용하고, 평균 인원은 3 개월 이상 동안 프로젝트에 머무르기 전에 다른 것으로 회전했습니다.


4
아웃소싱 +1 나는 그것을 생각하지 않았다. 당신이 해외에있을 때, 개발자들은 당신이 명시한 것을 정확하게 개발 하고, 질문을하지 않았으므로, 보안은 사양에 없었을 것입니다.
richard

1
@Richard DesLonde : 나는 당신이 낙관론자 인 것을 본다.
David Thornley

@David Thornley : 아니요. 방금 경험했습니다. :-)
richard

2
@Richard DesLonde : 그리고 당신의 모든 근해 프로젝트는 스펙이 말한 모든 것을하게 되었습니까? 나쁘지 않다.
David Thornley

1
@David Thornley : LOL 절대로 아닙니다. 그것은 내가 강조했던 부분이 아니 었습니다. 당신은 확실히 맞습니다, 그것은 너무 낙관적이었습니다. :-)
richard

4

어떻게 실수를합니까? 게으름, 지식 부족, 전문 지식 부족, 편의성, 프로세스 부족 등을 통해 실수를 방지하는 방법은 무엇입니까? 근면, 경험, 안전 장치 등을 통해 이러한 상황은 모든 프로그래머가 만든 수천 개의 작은 실수와 범주가 다릅니다. 규모 만 다릅니다.

우리는 이것으로부터 무엇을 배울 수 있습니까? 별로.


나는 그것이 다르다고 생각합니다. 소니는 수십억 달러를 벌어도 이러한 기본적인 것을 제대로 얻을 수 없습니까? 그것에 심각한 문제가 있습니다. 그리고 그것은 소니 만이 아닙니다. 최근 많은 SQL 회사가 많은 대기업을 해킹했습니다.
richard

1
아니요, 다르지 않습니다. 결정은 회사가 아닌 사람들에 의해 이루어집니다.
Rein Henrichs

@Richard : 그들은 항상 나쁜 보안 기록을 가지고있었습니다. 이것은 소니 루트킷을 발명 한 회사와 같습니다. 기억하십니까?
메이슨 휠러

2

한 가지 가능한 설명은 우선 순위 비뚤어진 목록입니다. 제가 함께 일한 많은 회사들은 생산하는 제품 / 코드의 품질보다는 제품을 시장에 출시하는 데 더 많은 중요성을 두었습니다. 이 효과는 프로그래머가 완성을 서두르는 것뿐만 아니라 QA 부서도 포함하기 때문에 두 배가됩니다. 또한이 태도는 이전 제품이 완성되기 전에 다음 제품을 추진하면서 문제가 더욱 심화되는 것과 일치 함을 알았습니다.

각 회사의 공통 분모는 기술이 아닌 관리였습니다. 프로젝트 관리자, IT 관리자 및 제품 관리자는 기본적으로 개발 팀의 작업에 대한 의견을 가진 모든 사람은 기술이 아니며 고품질의 안전한 코드 생성의 중요성을 이해하지 못합니다. 이것은 지금 회사와 인터뷰 할 때 찾는 것입니다. 망명, 수감자 또는 의사에 대한 통치권은 누구에게 있습니까?

심오한 관료주의로 인해 비슷한 것이 소니와 다른 회사의 보안 문제에 영향을 미쳤다고해도 놀라지 않을 것입니다.


0

사람들은 대기업에서 일하며 사람들은 무지, 게으름, 잘못된 절차, 잘못된 문서 등으로 실수를 저지 릅니다. 회사의 규모는 더 많은 오류나 실수의 원인이있을 수있는 실수에만 영향을 미칩니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.