Obsah:
Video: Zvýšte výkonnosť vašej firmy - Aj malá firma môže fungovať ako Baťa alebo Toyota (November 2024)
19. júla 2019 sa zmluvný programátor David Tinley priznal k obvineniu, že úmyselne poškodil počítače patriace spoločnosti Siemens Corporation. Podľa podaní v tomto prípade Tinley zasadil logické bomby do kódu, ktorý vyvíjal pre spoločnosť Siemens v jej meste Monroeville v Pensylvánii. Účelom týchto logických bômb, ktoré boli časťami kódu a ktoré boli načasované tak, aby spôsobili prerušenie po týždňoch alebo mesiacoch po ukončení projektu, bolo zabezpečiť, aby mal Tinsley stály tok príjmov z riešenia problémov, ktoré sa považovali za chyby. Keď bol vyzvaný, aby vyriešil problém, Tinsley jednoducho zmenil dátum na logickej bombe tak, aby sa neskôr znova vypol.
Prenájom záložných kodérov
Tak prečo ti to všetko hovorím? Šanca, že by ste si najali programátora, ktorý do vlastného kódu úmyselne vloží logické bomby, nie je veľká. Aj keď tieto šance nie sú nula, existuje niekoľko ďalších vecí, ktoré sa môžu pokaziť, keď niekto píše kód pre vašu organizáciu.
„Čo sa stane, ak táto osoba odíde alebo padne mŕtvy?“ žiada Jacka Golda, hlavného analytika spoločnosti J. Gold Associates. Zlato naznačuje, že keď najmete niekoho na rozvoj, vždy potrebujete zálohu. Koniec koncov, vlastný kód je váš kód. Neexistuje žiadna tretia strana, na ktorú sa môžete obrátiť, ak sa niečo pokazí, pokiaľ na to nemáte v pláne. Navrhol tiež, že existuje niekoľko ďalších krokov, ktoré spoločnosti musia urobiť, aby sa chránili počas procesu vývoja, medzi ktoré patria najmä povinné preskúmania kódu.
„Kontrola kódu je pravdepodobne najlepším spôsobom, ako zistiť, čo je vo vašom kóde, “ povedal Alan Zeichick, hlavný analytik spoločnosti Camden Associates, „vrátane vecí, ako sú logické bomby, bezpečnostné chyby alebo hlúpe chyby.“
„Existujú aj iné dôvody na vykonanie kontroly kódu, “ dodal Zeichick. „Pomáha vášmu vývojovému tímu lepšie porozumieť tomu, ako vývoj funguje, pomáha juniorským programátorom získať lepšie pochopenie. Recenzia kódu sú tiež dobré pre pomoc manažérovi tímu zvládnuť kvalitu vývojového tímu a získať odhad, ako dlho dokončenie úlohy bude trvať.
Vykonávanie kontroly kódu
Zeichick povedal, že existuje niekoľko spôsobov, ako vykonať kontrolu kódu. „Môžete mať tím, v ktorom na ňom pracujú dvaja ľudia, alebo sa môžete stretnúť v konferenčnej miestnosti, kde si môžete skontrolovať kód.“
Tímy, v ktorých každý člen kontroluje kód niekoho iného, sú čoraz obľúbenejšie, pretože programátori ho majú ťažšie nájsť. Vo väčších organizáciách sú však periodické stretnutia zamerané na kontrolu kódu stále užitočné, pretože potom sa v procese kontroly pomôže niekoľko skupín očí. Zeichick povedal, že aj ten najvyšší programátor by mal nechať skontrolovať svoj kód.
Prečo spoločnosť Siemens dovolila spoločnosti Tinley chodiť po všetky tie roky bez kontroly kódu? Podľa pripomienok svojho zástupcu počas súdneho konania považoval Tinley svoj zákon za proprietárny a použil ho ako ospravedlnenie na to, aby nebol jeho zákon preskúmaný.
Prečo to bolo dovolené, nie je jasné, ale Zeichick aj Gold zdôrazňujú, že požiadavka na kontrolu kódu by mala byť súčasťou každej zmluvy medzi podnikom a nezávislým programovým vybavením. Zlato naznačuje, že v zmluve sa nespomínajú iba revízie kódov, ale aj to, ako a kedy sa uskutočnia.
Zeichick poznamenal, že niektoré veľké vývojové dielne môžu robiť svoje vlastné kontroly kódu, čo povedal. „Najlepší ľudia na kontrolu kódu sú ľudia v vývojovom tíme, “ uviedol.
Vyhýbanie sa škodlivému kodéru
Preskúmania kódu prebiehajú takmer navždy. Keď som riadil tím programátorov pre veľké vládne zariadenie, každý piatok popoludní sme prechádzali cez ohromujúce línie COBOLu. Aj keď to bolo únavné, často sme našli chyby, chyby, nesprávne referencie alebo iné chyby kódovania. Faktom je, že všetci robíme chyby a rozumná kontrola robí kód lepším pre všetkých.
Programátori nanešťastie niekedy nesúhlasia s recenziami kódov a veria, že strácajú čas. Iní hovoria, že nechcú, aby ľudia hádali kódom. Skutočnosť, že odmietnutie kontroly kódu by malo byť červenou vlajkou. Ak platíte za napísanie kódu, vaša zmluva môže primerane obsahovať požiadavku na kontrolu. Zamietnutie je dôvodom prepustenia.
Bohužiaľ, nájsť dobrých programátorov je dnes ťažké. Dopyt je vysoký a v niektorých prípadoch majú zmluvní programátori pocit, že môžu špecifikovať, že sa nemusia podrobiť kontrole svojho kódu, aj keď ich kontakt hovorí, že to tak bude.
Najlepším spôsobom, ako sa vyhnúť takýmto problémom, je najprv požiadať o referencie pre predchádzajúce práce a potom požiadať o referencie. Po druhé, vynútite kontrolu kódov od prvého dňa. Stávajú sa tak zvykom a programátori, ktorí odmietnu kontrolu, môžu byť prepustení okamžite - predtým, ako sa stanú kritickými pre vývojový proces.
- Čo robiť, keď ste boli hackeri Čo robiť, keď ste boli hackeri
- 6 vecí, ktoré sa nemajú robiť po porušení údajov 6 vecí, ktoré sa nemajú robiť po porušení údajov
- Florida City zaplatí 600 000 dolárov hackerom po útoku Ransomware Florida City zaplatí 600 000 dolárov hackerom po útoku Ransomware
Bohužiaľ, riziká v procese vývoja môžu byť veľké. Gold poukazuje na to, že neetický programátor môže do vášho kódu vložiť zadné dvere, nájsť spôsoby, ako ukradnúť vaše zákaznícke údaje alebo duševné vlastníctvo alebo odovzdať kritické údaje inej spoločnosti alebo zahraničnej moci.
Spôsob, ako tomu zabrániť, je priebežná správa, kontrola pracovného produktu vašich programovacích pracovníkov a kontrola kódu skôr, ako ho váš systém správy kódu prijme.