マネージャーの責任は、リスクを管理することです。
Gmailでクロススクリプトセキュリティホールが発見されたとき、これはチームが迅速に解決するために非常に重大なリスクを提示しました。Gmailユーザーは何百万人もいるので、この欠陥を悪用するWebアプリケーションを作成した場合、WebアプリケーションのユーザーがGmailを使用して別のタブで開く可能性が高くなります。したがって、フィッシャーとして、ユーザーデータにアクセスするためのアプリケーションを構築することは価値があるかもしれません。
あなたの上司が自分自身に尋ねているかもしれない質問はこれです:このセキュリティホールはどれほど危険ですか?この特定のサイトのこの特定のセキュリティホールを標的にしているWebアプリケーションが存在する可能性はどのくらいですか?当社のウェブサイトにアクセスしている従業員がこのサードパーティのウェブサイトを使用しているリスクは何ですか?
私の経験では、あなたのサイトが大量のトラフィックを受け取っていなければ、リスクはあまりありません。
上司は、この特定のセキュリティホールを修正しないことで問題になる場合とそうでない場合の機会費用は、代わりにビジネスの成長と収益の創出に役立つ活動にリソースを集中できると考えているかもしれません。
そうは言っても、Githubがハッキングされたのと非常によく似た問題があり、プロジェクト管理の観点からこのトピックをカバーするProject Management SEに質問があります。Githubをハッキングしたユーザーはあなたと同様の状況にあり、Githubの特権は一定期間停止されました。
あなたへの私の質問はこれです:サイトがダウンした場合、あなたのビジネスはどうなりますか?このセキュリティホールが悪用される可能性はどのくらいですか?
これを追求することを選択した場合、これがビジネスの実行可能性に対する非常に現実的で差し迫った脅威であるという証拠を客観的に取得する必要があります。
これが本当の問題であるという証拠を得るためのいくつかの提案があります:
Google検索を実行して、同様の関連するセキュリティホールの結果として重大な問題を経験した企業のニュース記事、ブログ、またはその他の経験を探します。これは実際に、他のビジネスチャンスの代わりに対処する価値があるリスクであることを示します。
チームの他の技術者と話し合い、彼らの洞察を得てください。問題が本当に深刻な場合は、同様にあなたをバックアップできる他の人を見つけることができるはずです。そうでない場合は、懸念事項が正当化されないか、企業文化のセキュリティに大きな問題があります。
理想的ではありませんが、企業の貯金箱を壊さずにリスクを軽減し、安心感を与える可能性のある、より迅速な修正ソリューションを含む穴を修正するためのIT部門と他のオプションについて話し合います。場合によっては、すべてではないにしても、少量の作業でリスクの一部を排除できる場合があります。
上記の点がうまくいかない場合は、これを手放すことを検討し、これらの問題はビジネスリスク管理の通常の部分に過ぎないことを知っています。