谁对安全漏洞负责?

时间:2009-08-26 07:39:23

标签: security

如果您是应用程序的程序员,如果应用程序的安全性受到损害,可能会产生(代价高昂的)分支,如果出现任何问题(例如数据泄露),您是否有责任?

是否取决于您是否是该项目的经理?

7 个答案:

答案 0 :(得分:5)

道德,你是。从法律上讲,你通常不是。但请注意你签名的内容。

答案 1 :(得分:5)

如果您作为程序员处于这种地位 - 昂贵的后果是应用程序存在安全漏洞 - 您应明确制定安全漏洞计划。以书面形式获取它。谈论谁失业。

我说这有两个原因。一,因为它是真的 - 每个人都应该这样做。第二,如果每个人都知道违规的就业结果,那么人们会更安全地编码。

最后一点 - 如果有很大的后果,安全永远不应该是一个人的责任。

答案 2 :(得分:2)

这完全取决于法律管辖权,您与客户之间的合同(以及任何中介机构,例如雇主,如果您不是以个人身份执行此操作)。

这就是为什么大多数EULA声明没有保修等等。

答案 3 :(得分:2)

从项目经理的角度来看,如果安全性受到损害,我会说程序员是错误的,因为项目经理专业领域并不一定在编程或编程安全性方面。如果程序员决定承担这样的任务或至少教育自己,那么该程序员应该有足够的经验来了解这些事情。

正如我所见,安全漏洞之类的事情经常发生,因为漏洞,可以通过彻底的测试找到错误。事实是,如果它是一个人的工作 - 程序的人也是经理 - 一个人不能想到任何事情,你搞砸的机会更大。但最终重要的是法律合同。

答案 4 :(得分:1)

关键的想法是让这么多人参与到项目中(经理,程序员,测试人员),这样责任就会变得如此分散,以至于没有人真正被指责:)

答案 5 :(得分:0)

不,这个责任将由您的QA部门承担。对于非常敏感的应用程序,他们应该获得第三方认证,以保证应用程序的完整性,或至少对其可能失败的方式和原因进行全面报告。

答案 6 :(得分:0)

在某些组织中,有一些团队专门从不同角度对应用程序进行安全检查

......-对于那些没有这样的团队的组织来说,安全的概念需要作为项目开始时突出的目标提前。如果它不是一个里程碑 - 那么程序员和经理都不会主动实施它(它通常是优先级列表中的最后一件事 - 由于时间的限制,最后需要处理 - 尽管很重要)。