大企業はどのようにしてセキュリティホールを残す新人ミスを犯すのですか?[閉まっている]


15

ソニーは最近、SQLインジェクションでハッキングされ、ユーザーのパスワードはプレーンテキストで保存されました。これらは新人の間違いです。そのような大企業では、これはQAにどのように合格しますか?これよりもよく知るよりも良いチームがいないのはどうしてですか?

ハッキングされた会社の規模の大きさにより、これは異なります。私たち全員が、いつかこのようなことを担当するチームに自分自身を見つけるかもしれないので、私たち全員に影響を及ぼします。それで、これにつながる要因は何ですか、どのようにそれらを防ぐのですか?


この質問は、事実と参考文献に基づいた建設的な答えを招いていません。これは、ソニーがいかにくだらないかについてのさまざまな推測のリストです。SQLインジェクション、QA、およびセキュリティに対処する手順に関するいくつかの質問については、関連する質問のサイドバーを参照してください。(投票数をクリアしたことに対する謝罪:間違った理由で誤って閉じたときに、「建設的ではない」3つの投票がありました)

コメント:コメントは明確な説明を求めるためのものであり、詳細な議論のためのものではありません。他の人とこの質問について話し合いたい場合は、チャットを使用してください。詳細については、FAQを参照してください

4
@Mark Odd、それはおそらく非常に建設的な答えを集めました。それはおそらくマークに非常に近いでしょう。そうは言っても、「なぜこのような大企業でこのような無謀な行動を処罰する法律がないのですか?」
コンラッド・ルドルフ

3
この質問が再び閉じられたことはかなり奇妙です。ドラコニアン。再び。
リチャード

回答:


24

最初に頭に浮かぶのは、数層の官僚組織を成長させるのに十分な大きさだからです。これは、とりわけ、採用プロセスを担当するスマートなコーダーがもはやいないことを意味します。つまり、潜在的なプログラマーや能力のないQAを排除する能力を失います。これは悪いコードが書かれ、それを本番環境にすることにつながります。


3
あなたは官僚主義で頭に釘を打ったと思いますが、それに起因する他の問題もあります。重大な問題を発見した賢い開発者がいる場合、修正に取り組むための承認を取得し、テストし、実稼働に移行するには神の行為が必要です。必要なのは、官僚の一人が、変更を行うリスク(他のプロジェクトの遅延、生産エラーなど)が、変更を行わないリスク(だれがこの規模の企業をハッキングできるか)を上回ると考えることだけです。
メイヨー

18

プログラマーはそれをテストするように言われなかったため、企業文化の崩壊は彼らの職業倫理の感覚を開始するのに十分な余裕を与えず、セキュリティの脆弱性をテストするためにさらに数週間を要求しました。または、最初から安全であることを主張します。

上司は、なんらかの理由でセキュリティ問題のテストに数週間余分に費やしたくなかったからです。年末の追加ボーナス。次の部門からジョンソンを表示します。自慢する権利。会社への義務。怠惰。部下の助言に対する不信感。

なぜなら、上司はボブよりも多くの利益を要求し、ジョンソンを昇進させたからです。彼の数は、より良い製品を要求するよりも良く見えたからです。品質とセキュリティはスプレッドシートに表示するのが難しい値だからです。企業はお金を稼ぐために存在するからです。

このようなことは体系的な問題です。結局のところ、「彼らは愚か者だから」です。

編集 プログラマーは、不足に気づいたときに、上司に問題を提起することで、犠牲のヤギになることを回避できます。彼は正しいことをしてそれを修正する計画を立てるか、あなたにそれを無視するように言います。彼がそれを修正しない場合、それを公式にし、電子メールでそれについて尋ねてください。この場合、「脆弱性」、「インジェクション」、「セキュリティ違反」など、問題に関連するキーワードを使用します。メール検索で取り上げられるもの。

これは大金です。今ではあなたの上司の責任です。このことが失敗したときに人々が死ぬことになるように、それが重要な場合は、彼の頭を越えて上司に問題を提起してください。あなたは単にドルを渡すために解雇されることができ、あなたがそれを渡したとしてもあなたはまだ解雇されることができますが、それは正しいことです。実際に問題を修正するほど正確ではないが、近い。


3
会社の最高経営責任者としてのあなたへの私の投票!!!
Wajih

3
@Cheshire最初に行われたときは「常識」ではありませんでした。人々は本質的にセキュリティ志向ではありません。データを取得するためだけに存在する悪意のあるジャークがあることを常に覚えておいてください。
マイケルトッド

3
@マイケル・トッド:しかし、これは1996年ではありません。これ今で常識であり、言い訳はできません。
リチャード

1
@Cheshire Agreeed。そして、セキュリティを念頭に置いて開発することは、後でテストするよりもはるかに優れています。
フィリップ

1
@Richard DesLonde:それが常識だったら、正しいことを言う人が少なくなると思います。
デビッドソーンリー

12

企業が大きくなればなるほど、意思決定者は現実の責任から遠ざかります。

企業の仕組みを知っているサイトデザインは、おそらく開発者あたりの最低価格に基づいて選択されたコンサルティング会社にアウトソーシングされました。その会社は、同様の基準でランダムな人々の束を順番に雇い、平均的な人が3ヶ月以内にプロジェクトに滞在してから、他の人にローテーションされます。


4
アウトソーシングの場合は+1。私はそれを考えていませんでした。オフショアのとき、開発者は仕様どおりの内容を開発します。質問はありません。したがって、セキュリティは仕様に含まれていない可能性があります。
リチャード

1
@Richard DesLonde:あなたは楽観主義者だと思います。
デビッドソーンリー

@David Thornley:いいえ、経験があります。:
リチャード

2
@Richard DesLonde:オフショア化されたプロジェクトはすべて、仕様書に記載されているすべてのことをやってきたのですか?悪くない。
デビッドソーンリー

1
@David Thornley:絶対にそうではありません。それは私が強調していた部分ではありませんでした。あなたは間違いなく正しい、それは少し楽観的でした。:
リチャード

4

誰がどのように間違いを犯しますか?怠、知識の不足、専門知識の不足、便宜、プロセスの不足などを通じて、どのように間違いを防ぐのでしょうか?勤勉、経験、安全対策などを通じて。この状況は、すべてのプログラマーが犯した数千の小さな間違いとは明確に異なります。規模が異なるだけです。

これから何を学ぶことができますか?あまりない。


違うと思う。ソニーは数十億ドルを稼いでいますが、これらの基本的なことを正しくできないのですか?それには深刻な問題があります。そして、それはソニーだけではありません。最近、多くの大企業がSQLインジェクションによってハッキングされています。
リチャード

1
いいえ、実際には違いはありません。決定は、企業ではなく人によって行われます。
ラインヘンリヒズ

@リチャード:彼らは常に悪いセキュリティ記録を持っていました。これは、Sonyルートキットを発明したのと同じ会社です、覚えていますか?
メイソンウィーラー

2

考えられる説明の1つは、優先順位リストの偏りです。私が協力してきた多くの企業は、彼らが生産していた製品/コードの品質よりも、製品を市場に出すことをより重要視しています。プログラマーが急いで完了するだけでなく、QA部門(もしあれば)も同じであるため、この効果は2倍になります。また、この態度は、前の製品が完成する前に次の製品に進むことと一致し、問題をさらに悪化させることに気づきました。

これらの各企業に共通する特徴の1つは、非技術的な管理です。プロジェクトマネージャー、ITマネージャー、およびプロダクトマネージャーは、基本的に開発チームが取り組んでいることについて発言権を持っている全員が、技術的ではなく、高品質で安全なコードを作成することの重要性を理解していません。これは今、企業にインタビューするときに探しているものです。亡命者、受刑者、医師の統治権は誰が持っていますか?

似たようなものが、深い官僚主義によってさらに悪化し、ソニーや他の会社のセキュリティ問題の要因となっていても、私は驚かないでしょう。


0

人々は大企業で働いており、人々は無知、怠laz、悪い手順、悪い文書などから間違いを犯します。会社の規模は、エラーやミスの原因が増える可能性があるという点でミスにのみ影響します。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.