本文讨论了在软件开发中,安全人员与程序员对于程序中的问题看法不一时如何处理。通过两个案例,阐述了不同环境下对问题处理的不同态度及优先级。
最近浏览“混世魔王”的博客,看到他撰写的一篇博客《当你发现程序有一个漏洞,你和程序员沟通,程序员认为这只是一个BUG。根本不算漏洞,你会怎么处理这个问题?》,有所感触,便转载博文部分内容以作记录,如有侵权等相关问题,可以联系我,同时说明,最近对web攻防方面十分感兴趣,偶然机会浏览到“混世魔王”的博客,十分欣赏作者。
当你发现程序有一个漏洞,你和程序员沟通,程序员认为这只是一个BUG。根本不算漏洞,你会怎么处理这个问题?
一.确定这个问题的严重性,
我认为是漏洞,程序员也认为是漏洞,说明问题严重,需要修复。
而我认为是漏洞,程序员只认为是BUG,就说明这个问题不一致,有争议,在程序中的影响是不严重的。
二.我会考量这是一个在什么开发进度和环境情况下,需要的程序。需要立马修复,暂不修复,甚至不去修复。
没错,还有甚至不修复的方案。
举2个例子,你就明白了。
1.滴滴打车,最开始起步的时候,程序非常的烂,不稳定,架构也不好。用户各种抱怨。
后来他们团队新加的技术牛,能解决现在遇到问题。但是不停的和CEO程维说要重做程序,重新架构。
这个问题足足说了一年,才考虑重做。这一年,作为公司的CEO,程维考虑的是市场,业务,竞争对手,先让公司活下去。
谁不想有个稳定的系统?公司需要发展的时候,除非非常严重的问题,要不然能用就行。公司活不下,多稳定的程序都没用。
技术牛的视角从技术出发,抱怨公司的程序有乱,有多烂,要重做。而这个时候环境需求,能解决现在遇到问题就行。
2.淘宝客的Cookie Stuffing
BUG和漏洞就是一念之间,漏洞是可以利用,BUG是暂时不可以利用。在我BLOG提到过淘宝客的Cookie Stuffing,其中利用的就是淘宝的一个BUG。
这个很细微的BUG,存在了很多年,在我公布这个刷钱方法之前,淘宝的程序员和安全人员根本不屑一顾这是个问题。
一家稳定的公司,特别是主业务上的程序。是需要修复任何漏洞和BUG的。
三.BUG不修复的方案,就是程序是解决现有的问题,解决以后,就不会更新或使用了。程序员忙,可以,选择BUG不修复的方案。这里就不举例了。
工作是讲究原则的,不是谁说服谁的问题,难道他说服你,这个漏洞就变成BUG了?
这句话,在我看来就是 skr skr~
扫一扫
3244
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
