私は、雇用主のアプリケーションの1つと、クライアントが開発した外部システムとの統合を開発するように割り当てられました。セキュリティに関連するいくつかの露骨な欠陥がある統合のためのクライアントの仕様。この欠陥により、不正なユーザーがシステムにアクセスして、制限されたデータを表示できます。
設計どおりに実装された場合の欠陥とその潜在的なセキュリティリスクを指摘し、欠陥のない代替手段を提供しましたが、(要するに)クライアントから「指定どおりに行う」と言われました。
プログラマには、既知のセキュリティリスクのあるコードを実装しないという倫理的な責任がありますか?安全なアプリケーションを作成するためのソフトウェア開発者としての倫理的責任を、クライアントの要件がどの時点で上回るのでしょうか?
9
リスクを指摘しましたが、これらのリスクが業務の一部の側面に及ぼす可能性と(おそらくより重要な)影響も指摘しましたか?クライアントはリスクを完全に理解し、その効果に関する文書を持っていると確信していますか?
—
トーマスオーエンズ
私は最近、私の仕事のいくつかでこれを頭の中で投げています。橋の建設業者に対して同じ比較を行うと、彼は、その下にそれらの迷惑な邪魔な支持体を持たない、または2台の車の重量しか耐えられない橋を建設するように頼まれ、彼の評判のために、彼はおそらくただ拒否するでしょう。拒否するのがエンジニア/人の義務であるとき、私は本当にそこに来なければならないと思っています。確かに、設計上の苦情の大部分は、人身傷害/死亡のリスクに近づいていません。
—
Katana314
@TheSoftwareDevまあまあですが、時々人間のリスクは私たちが認識しているよりも深くなる可能性があることを付け加えます。ハッカーが人々の情報を簡単に取得して身元を盗むことを許可するセキュリティリスク。ストーカーがレストランでのミーティングに関する女性のプライベートな通信を傍受し、物理的に彼女を追跡してトラップできるようにするソーシャルネットワークの欠陥。それを創造的に考えるのは少し病的ですが、私たちのプロジェクトがどのように広範囲に使用されるかを忘れることがあります。
—
Katana314
@gnat実際には複製ではありません。リンクされた質問は、ソフトウェア倫理に対する一般的なアプローチに関するものです。これは、「もう問題ではない」と言う前に、OPがどれだけの戦いをするべきかを尋ねます。
—
ラット