¿Cómo comete una gran empresa los errores de novato que dejan agujeros de seguridad? [cerrado]

Sony fue hackeado recientemente con una inyección SQL y las contraseñas de sus usuarios se almacenaron en texto plano. Estos son errores de novatos. En una empresa tan grande, ¿cómo pasa esto el control de calidad? ¿Cómo no tienen mejores equipos que saber mejor que esto?

El gran tamaño de la empresa que fue pirateada lo hace diferente. Nos afecta a todos porque algún día todos podemos encontrarnos en un equipo que es responsable de algo como esto, y luego obtenemos el hacha. Entonces, ¿cuáles son los factores que conducen a esto y cómo los prevenimos?

Lo primero que viene a la mente es, porque son lo suficientemente grandes como para desarrollar algunas capas de burocracia. Esto significa, entre otras cosas, que ya no tiene codificadores realmente inteligentes a cargo del proceso de contratación, lo que significa que pierden su capacidad de eliminar a los posibles programadores y personas de control de calidad que son incompetentes. Lo que lleva a que se escriba un código incorrecto y se convierta en producción, y todos sabemos lo que sucede a continuación ...

Debido a que no se les dijo a los programadores que probaran eso y la cultura corporativa aplastante no les dio suficiente margen para que su sentido de ética profesional entrara en acción y exigiera un par de semanas más para probar vulnerabilidades de seguridad. O para insistir en que estén seguros desde el principio.

Porque el jefe no quería pasar un par de semanas adicionales probando problemas de seguridad por ... cualquier razón. Un bono extra al final del año. Mostrando a Johnson del siguiente departamento. Los derechos de fanfarronear. Deber a la empresa. Pereza. Desconfianza de los consejos de los subordinados.

Porque el gran jefe exigió más ganancias y promovió a Johnson sobre Bob porque sus números se veían mejor en lugar de exigir un mejor producto. Porque la calidad y la seguridad son valores difíciles de mostrar en una hoja de cálculo. Porque las corporaciones existen para ganar dinero.

Cosas como esta son un problema sistemático. Se reduce a "porque son tontos".

Los programadores de edición pueden evitar ser el chivo expiatorio al, al notar una deficiencia, plantear el problema a su jefe. Él hará lo correcto y hará un plan para arreglarlo, o te dirá que lo ignores. Si no lo arregla, hágalo oficial, pregúntelo por correo electrónico. Use palabras clave relacionadas con el problema, como "vulnerabilidad", "inyección", "violación de seguridad" en este caso. Cosas que una búsqueda por correo electrónico recogería.

Esto está pasando el dinero. Ahora es responsabilidad de tu jefe. Si es importante, como la gente va a morir cuando esto falla, pasa por alto y habla del tema a su jefe. Puedes ser despedido por simplemente pasar el dinero, y aún puedes ser despedido incluso si lo pasas, pero es lo correcto. No es tan correcto como solucionar el problema, pero está cerca.

Cuanto más grande es la corporación, más lejos están los tomadores de decisiones de cualquier responsabilidad de la vida real.

Sabiendo cómo funcionan las corporaciones, el diseño del sitio probablemente fue subcontratado a alguna empresa de consultoría elegida en función del precio más bajo por desarrollador. Esa compañía a su vez contrataría a un grupo de personas aleatorias con criterios similares, con una persona promedio que permanezca en el proyecto durante no más de 3 meses antes de ser rotada a otra cosa.

¿Cómo alguien comete errores? A través de la pereza, la falta de conocimiento, la falta de experiencia, la conveniencia, la falta de proceso, etc. ¿Cómo evitamos los errores? A través de la diligencia, la experiencia, las salvaguardas, etc. Esta situación no es diferente categóricamente de los miles de pequeños errores cometidos por cada programador; solo es diferente en escala.

¿Qué podemos aprender de esto? No mucho.

Una posible explicación es una lista de prioridades sesgada. Muchas empresas con las que he trabajado han dado más importancia al lanzamiento de un producto al mercado que a la calidad del producto / código que estaban produciendo. Este efecto se duplica porque no solo los programadores se apresuran a completarse, sino también el departamento de control de calidad (si es que tienen uno). También he notado que esta actitud coincide con avanzar al siguiente producto antes de que se complete el anterior, lo que agrava aún más el problema.

Un denominador común en cada una de estas empresas ha sido la gestión no técnica. Los gerentes de proyecto, gerentes de TI y gerentes de producto, básicamente todos los que tienen voz en el trabajo del equipo de desarrollo, no son técnicos y no entienden la importancia de producir código seguro y de alta calidad. Esto es algo que busco cuando me entrevisto con empresas ahora. ¿Quién tiene las riendas del asilo, los reclusos o los médicos?

No me sorprendería si algo similar, agravado por una burocracia profunda, fueran factores contribuyentes en los problemas de seguridad de Sony y otras compañías.

La gente trabaja en grandes empresas y cometerá errores, ya sea por ignorancia, pereza, malos procedimientos, mala documentación, etc. El tamaño de la empresa solo afectará los errores, ya que puede haber más fuentes de errores o errores.