Hej,
czy macie w firmie dzial zajmujacy sie testowaniem bezpieczenstwa? jezeli tak to jakie sa jego zadania (zabezpieczanie wewnetrznej infrastruktury, testowanie produktow itp)?
0
6
Głównie wkurzanie programistów udzielaniem dostępów na chorych zasadach ;p
1
"chore zasady" mogą polegać np. na: musisz mieć dostęp do serwerowni żeby czasem pogrzebać w sprzęcie (wymogi projektowe) ale nie dostaniesz dostępu bo ktoś zarządził limit na xx osób więc za każdym razem musisz komuś przerywać pracę i truć „wpuść mnie do labu”.
0
U nas kazda pierdółka, ktora nie jest zwiazana bezposrednio z programowaniem - problem sieciowy, problem z PC, problem z softwarem/hardwarem itp. - tym zajmuje sie IT support i im trzeba to zglaszac, jest do tego oficjalny kanal przez WWW. Taka polityka firmy/bezpieczenstwa.
Dodatkowo tylko pracownicy IT support maja dostep do serwerowni, reszta osob po prostu nie ma dostepu do tego pomieszczenia.
2
Też bym sobie ponarzekał na chore zasady bezpieczeństwa, jak reset hasła co miesiąc do czegoś co używa się raz na dwa miesiące.
Ale nie o to było pytanie!
Niestety w żadnym projekcie jakim brałem udział nie było takich testów. W obecnym próbowałem zwrócić uwagę na problemy bezpieczeństwa jak: zapamiętywanie haseł w postaci otwartej, to że to hasło pojawia się w logach itp i zgadnij jaka byłą reakcja?
"Nie mamy na to czasu"!
wiec oczekiwanie, że w ogóle ktoś robi testy bezpieczeństwa są bardzo wygórowane, skoro nie ma czasu na naprawienie oczywistych dziur bezpieczeństwa.
Dodam jeszcze, że czekam, aż klient zaliczy duży włam, wtedy na pewno znajdzie się czas na naprawienie tych oczywistych dziur, oraz na testy bezpieczeństwa.
0
@fdsfdff wydaje mi sie, ze nie piszesz o zespole bezpieczenstwa tylko po prostu o administratorach. Chyba, ze dziala to w ten sposob, ze zglaszany problem jest w jakis sposob forwardowany do dzialu bezpieczenstwa i oni analizuja czy to moze byc jakis problem ze wzgledu na bezpiczenstwo.
@MarekR22 Naprawde wyglada to az tak zle? wydaje mi sie, ze wlasciwie kazda aplikacja wystawiania w swiat powinna przejsc nawet podstawowe testy (oczywiscie nie znaczy to, ze te ktore maja dzialac intranetowo takich testow nie powinny przechodzic...). Zalozylem ten temat bo jestem ciekawy jak to wyglada w polskich firmach...
0
Oczywiście, że tak.
Poprawa bezpieczeństwa aplikacji nie poprawia jej sprzedaży, wiec nie jest to priorytet dla decydentów.
Chyba tylko ci co obsługują instytucje finansowe traktują problem bezpieczeństwa poważnie, bo dla instytucji finansowych jest to bardzo ważne. Inni klienci nie mają takich wymagań dopóki nie dotknie ich ten problem.
0
@whyLeo Chodzi o np dostęp do logów, za każdym razem musisz o nie prosić właśnie dział bezpieczeństwa, a oni karzą ci załatwiać zgody od przełożonych itd. Jak już to wszystko pozbierasz i w ogóle dostaniesz zgodę od przełożonych, to nawet wtedy potrafią to odrzucić. Jeżeli jednak już dostaniesz dostęp to na jeden dzień =/ Żeby było śmieszniej to nawet zdobycie dostępów do logów na środowisku testowym jest ciężkie do przejścia, na szczęście to robisz tylko raz na system. Jeszcze gorzej jest z dostępem do bazy danych =]