仕様に欠陥がある場合、引き続き従うべきですか?


28

私は、雇用主のアプリケーションの1つと、クライアントが開発した外部システムとの統合を開発するように割り当てられました。セキュリティに関連するいくつかの露骨な欠陥がある統合のためのクライアントの仕様。この欠陥により、不正なユーザーがシステムにアクセスして、制限されたデータを表示できます。

設計どおりに実装された場合の欠陥とその潜在的なセキュリティリスクを指摘し、欠陥のない代替手段を提供しましたが、(要するに)クライアントから「指定どおりに行う」と言われました。

プログラマには、既知のセキュリティリスクのあるコードを実装しないという倫理的な責任がありますか?安全なアプリケーションを作成するためのソフトウェア開発者としての倫理的責任を、クライアントの要件がどの時点で上回るのでしょうか?


9
リスクを指摘しましたが、これらのリスクが業務の一部の側面に及ぼす可能性と(おそらくより重要な)影響も指摘しましたか?クライアントはリスクを完全に理解し、その効果に関する文書を持っていると確信していますか?
トーマスオーエンズ

7
私は最近、私の仕事のいくつかでこれを頭の中で投げています。橋の建設業者に対して同じ比較を行うと、彼は、その下にそれらの迷惑な邪魔な支持体を持たない、または2台の車の重量しか耐えられない橋を建設するように頼まれ、彼の評判のために、彼はおそらくただ拒否するでしょう。拒否するのがエンジニア/人の義務であるとき、私は本当にそこに来なければならないと思っています。確かに、設計上の苦情の大部分は、人身傷害/死亡のリスクに近づいていません。
Katana314

2
@ Katana314私の現在のシナリオでは、怪我や死亡のリスクは絶対にありません。答えは間違いなく簡単です...しかし、頭に釘を打ったと思います。追加の検索により、ACMの倫理綱領に至りました。これは、予測可能な問題を特定し、周知する責任を強化しているようです。
ニックオーランド

3
@TheSoftwareDevまあまあですが、時々人間のリスクは私たちが認識しているよりも深くなる可能性があることを付け加えます。ハッカーが人々の情報を簡単に取得して身元を盗むことを許可するセキュリティリスク。ストーカーがレストランでのミーティングに関する女性のプライベートな通信を傍受し、物理的に彼女を追跡してトラップできるようにするソーシャルネットワークの欠陥。それを創造的に考えるのは少し病的ですが、私たちのプロジェクトがどのように広範囲に使用されるかを忘れることがあります。
Katana314

1
@gnat実際には複製ではありません。リンクされた質問は、ソフトウェア倫理に対する一般的なアプローチに関するものです。これは、「もう問題ではない」と言う前に、OPがどれだけの戦いをするべきかを尋ねます。
ラット

回答:


40

問題を指摘し、代替案を提案することで、あなたの役割を果たしたと思います。特定のレベルのリスクにさらされることを行うと主張する場合、関係するリスクを知って、明示的にこれを要求したことを示す紙の証跡(およびそのバックアップ)があることを確認する必要があります。あなたが本当に懸念している場合は、彼らが最初に何らかの法的文書/免責事項に署名し、彼らがあなたにあなたが求めたことに関連するリスクを認めるなら、あなたは彼らが望むことを喜んで行うと言うことができますそのような文書を起草する)。私は個人的に、このような状況に関するそのような文書の先例は知りませんが、これを支援する弁護士を見つけることができると確信しています。あなたの会社に法務部がある場合、企業責任の可能性がある場合、彼らが関与すべきものになるかもしれません。そしてもちろん、これが深刻な場合は、これもマネージャーと話し合う必要があります。

単に作業を拒否するだけでよい状況は、これがシステムのソフトウェアであり、心配している欠陥が原因でシステムが侵害される可能性がある場合のみだと思います非常に多くの人命の損失/重傷または何らかの壊滅的な財産の損失。


4
または個人的な責任...すなわち、それがあなたを解雇するか悪化させる場合
ダンピチェルマン

5
クライアントまたは雇用主が民事訴訟からOP免除を付与することに署名できる文書はありません。彼は、雇用の性質に応じて、会社との代理店関係の定義と保護に該当し、賠償責任シールドを提供しますが、そのようなシールドがない場合、「私は命令に従っただけです」どれだけよく文書化されていても。原告/検察官は、「あなたはただやめたかもしれません。たとえ他​​の誰かがそれをやったとしても、それはあなたのものではなく、彼らの頭の上にあるでしょう」と言うことができます。
キース

2
会社ができる最善のことは、裁判所および法的費用を含むOPの財政的責任の補償範囲を保証することです。彼が法律を破ったことが判明した場合、会社は彼のために刑務所に行くことができません。
キース

1
@BazzPsychoNut:OPはすでにリスクを指摘して説明しようとしており、無視されているようです。彼らは単に仕事をすることを拒否したがらない/できない場合、私は彼らが考える必要があります可能な限り自分のお尻をカバーし、彼らがすべき誰私は疑うことは彼らに事態のためのより具体的なアドバイスを与えるだろう(弁護士に相談、とも言います彼らのお尻をカバーするために)。
FrustratedWithFormsDesigner

1
ペーパートレイルの+1。また、展開に関与している場合は注意が必要です。それが来る可能性は低いですが、個人データの不注意な取り扱いが重大な犯罪になる可能性があることを意味する多くの法律があります(たとえば、英国のデータ保護法)。
マット
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.