如果您是一款应用程序的程序员,如果该应用程序的安全性受到威胁可能会产生(昂贵的)后果,那么如果出现任何问题(例如数据泄露),您是否负责?
这是否取决于您是否是该项目的经理?
7个回答
5
道德上,你是正确的。但法律上,通常并非如此。然而,请注意你签署的文件。
- Joonas Pulakka
5
如果你是一名程序员,遇到了应用程序的安全漏洞,这将带来昂贵的后果,你应该明确制定一个安全漏洞计划,并将其书面化。讨论谁会失去工作。
我之所以这样说有两个原因。首先,这是真的 - 每个人都应该这么做。其次,如果每个人都知道漏洞造成的就业后果,人们将编写更加安全的代码。
最后一个观点是,如果后果严重,安全绝不能只是一个人的责任。
我之所以这样说有两个原因。首先,这是真的 - 每个人都应该这么做。其次,如果每个人都知道漏洞造成的就业后果,人们将编写更加安全的代码。
最后一个观点是,如果后果严重,安全绝不能只是一个人的责任。
- Vince
2
你的“最后一点”可以说是所有点中最重要的。 - Dave Sherohman
我同意@dave的观点。你的“最后一点”是最重要的。 - ryanprayogo
2
这完全取决于法律管辖区、您与客户之间的合同(以及任何中介机构,例如雇主,如果您不是以个人身份进行此操作)。
这就是为什么大多数最终用户许可协议声明没有保修等原因。
- Rowland Shaw
2
从项目经理的角度来看,如果安全受到威胁,我会说这是程序员的责任,因为项目经理的专业领域不一定在于编程或编程安全。如果程序员决定承担这样的任务,他应该有足够的经验了解这些事情,或者至少要自学。
我认为,像安全漏洞之类的事情经常发生是因为存在漏洞,这些漏洞可以通过彻底的测试找到。事实上,如果只有一个人在工作——即编程人员也是经理——那么一个人无法考虑到所有的事情,你出错的机会甚至更大。但最终起作用的是法律合同。
我认为,像安全漏洞之类的事情经常发生是因为存在漏洞,这些漏洞可以通过彻底的测试找到。事实上,如果只有一个人在工作——即编程人员也是经理——那么一个人无法考虑到所有的事情,你出错的机会甚至更大。但最终起作用的是法律合同。
- Odif Yltsaeb
1
关键点是让项目涉及到更多的人(管理者、程序员、测试人员),这样责任就会分散到无法完全归咎于任何一个人 :)
- shoosh
0
不,这个责任应该由你们的QA部门承担。对于非常敏感的应用程序,他们应该获得第三方认证,以保证您的应用程序的完整性,或者至少对其可能失败的原因进行全面报告。
- Christoffer
0
在一些组织中,有专门从不同角度对应用程序进行安全检查的团队。
而对于那些没有这样的团队的组织来说,安全概念需要作为项目开始时的一个重点目标。如果它不是一个里程碑存在,那么程序员和经理都不会采取主动去实施它(通常因为时间限制,它往往是优先级列表中的最后一件事情 - 尽管很重要)。
而对于那些没有这样的团队的组织来说,安全概念需要作为项目开始时的一个重点目标。如果它不是一个里程碑存在,那么程序员和经理都不会采取主动去实施它(通常因为时间限制,它往往是优先级列表中的最后一件事情 - 尽管很重要)。
- techzen
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接