Tartalomjegyzék:
Videó: Dokumentáció: falnézetek, méretek, tervlapok és közzététel az ARCHLine.XP-ben (November 2024)
2019. július 19-én David Tinley szerződéses programozó bűnösnek vádolta a Siemens Corporation tulajdonában lévő számítógépek szándékos megsértését. Az ügyben szereplő beadványok szerint Tinley logikai bombákat ültett a kódjába, amelyet a Siemens számára fejlesztett a monnsevillei (Pennsylvania) helyén. Azok a logikai bombák, amelyek olyan kódrészletek voltak, amelyeket a projekt befejezését követő hetekben vagy hónapokban zavarásra készítettek, azok célja, hogy biztosítsák, hogy a Tinsley állandó bevételi forrással járjon a hibáknak feltételezett problémák megoldása miatt. Amikor felhívtak egy probléma megoldására, Tinsley egyszerűen megváltoztatta a logikai bomba dátumát, hogy később ismét eltűnjön.
Biztonsági kódolók felvétele
Szóval, miért mondom neked mindezt? Végül is nem nagy az esély, hogy felkér egy olyan programozót, aki szándékosan logikai bombákat helyez az ön egyedi kódjába. És bár ezek az esélyek nem nulla, van egy sor olyan dolog, amely rosszul fordulhat elő, ha valaki kódot ír a szervezetének.
"Mi történik, ha az a személy elhunyt vagy elhull?" - kérdezi Jack Gold, a J. Gold Associates fő elemzője. Az Gold azt sugallja, hogy ha valaki fejlesztéshez bérel fel, mindig szüksége van biztonsági másolatra. Végül is az egyedi kód az ön kódja. Nincs olyan harmadik fél, akihez fordulhat, ha valami rosszul fordul elő, hacsak nem tervezi. Azt is javasolta, hogy van néhány további lépés, amelyet a vállalatoknak meg kell tenniük, hogy megvédjék magukat a fejlesztési folyamat során, köztük a legfontosabb a kódok áttekintése.
"A kód áttekintése valószínűleg a legjobb módja annak, hogy megtudja, mi szerepel a kódjában" - mondta Alan Zeichick, a Camden Associates fő elemzője -, ideértve például a logikai bombákat, a biztonsági réseket vagy a hülye hibákat.
"Más okok is vannak a kód-áttekintés elvégzésére" - tette hozzá Zeichick. "Ez elősegíti a fejlesztői csapat számára, hogy jobban megértsék a fejlesztés működését, elősegíti a junior programozók jobb megértését. A kódok áttekintése szintén segít abban, hogy a csapatvezető megismerje a fejlesztői csapat minőségét, és becslést kapjon arról, hogy mennyi ideig a munka befejezéséhez szükséges.
Kódértékelések lefolytatása
Zeichick elmondta, hogy van néhány módszer a kódok áttekintésének lefolytatására. "Van egy csapata, ahol két ember dolgozik rajta, vagy találkozhat egy konferencia teremben a kód áttekintése céljából."
Azok a csoportok, amelyekben minden tag áttekinti valaki más kódját, egyre népszerűbbé válnak, mivel a programozók nehezen találhatók meg. Nagyobb szervezetekben azonban a kód megvizsgálására szolgáló időszakos találkozók továbbra is hasznosak, mert akkor több szemszögből segíthetnek a felülvizsgálati folyamat. Zeichick elmondta, hogy még a legidősebb programozóknak is ellenőrizni kell a kódot.
Szóval, miért engedte a Siemens Tinley-nek, hogy mindezen éveket kódex áttekintése nélkül menjen el? Ügyvédje észrevételei szerint a tárgyalás során Tinley saját kódexét védettnek ítélte, és ürügyként felhasználta arra, hogy ne ellenőrizze kódexét.
Miért engedték, hogy ez megtörténjen, nem világos, de Zeichick és Gold egyaránt rámutatnak, hogy a kód-áttekintés követelményének szerepelnie kell az üzleti vállalkozások és a független programozói ruházati szerződés között. Gold azt sugallja, hogy a szerződés nemcsak megemlíti a kód-áttekintéseket, hanem meghatározza, hogyan és mikor történnek.
Zeichick megjegyezte, hogy néhány nagy fejlesztõüzlet saját kód-áttekintést készíthet, amely szerinte ésszerû. "A legjobb, ha a kód áttekintését a fejlesztői csapat tagjai végzik el" - mondta.
Kerülje a rosszindulatú kódolókat
A kódok áttekintése majdnem örökre megtörtént. Amikor egy nagy kormányzati létesítmény programozóinak csapatát irányítottam, minden péntek délután átkerültük a COBOL gondolatvezető vonalait. Miközben unalmas volt, gyakran észleltek észleléseket, hibákat, helytelenül alkalmazott referenciákat vagy egyéb kódolási hibákat. A helyzet az, hogy mindannyian hibákat követünk el, és egy ésszerű áttekintés mindenkinek jobbá teszi a kódot.
Sajnos a programozók néha megbotránkoznak a kódértékelésekkel, és azt hitték, hogy időpocsékolás. Mások szerint nem akarják, hogy az emberek másodszor kitalálják kódjukat. Az a tény, hogy a kód felülvizsgálatának megtagadását piros zászlónak kell lennie. Ha fizet a kód megírásáért, akkor a szerződése ésszerűen tartalmazhatja a felülvizsgálat követelményét. Ennek megtagadása oka az elbocsátásnak.
Sajnos manapság nehéz megtalálni a jó programozókat. A kereslet magas, és bizonyos esetekben a szerződéses programozók úgy érzik, hogy meg tudják határozni, hogy nem kell aláírniuk a kódjuk felülvizsgálatát, még akkor is, ha kapcsolattartójuk szerint ez lesz.
Az ilyen problémák elkerülésének legjobb módja az, ha először referenciákat kér, majd hívja fel a korábbi munkákat. Másodszor, hajtsa végre az első nap kódkódját. Ilyen módon szokássá válnak, és az áttekintést megtagadó programozókat azonnal el lehet utasítani - még mielőtt azok kritikusak lennének a fejlesztési folyamat szempontjából.
- Mi a teendő, ha csapkodtunk? Mi a teendő, ha csapkodtunk?
- 6 dolog, amit nem szabad megtenni az adat megsértése után 6 dolog, amit nem szabad megtenni az adat megsértése után
- Florida City fizet 600 000 dollárt a hackereknek a Ransomware Attack után. Florida City fizet 600 000 dollárt a hackereknek a Ransomware Attack után
Sajnos a fejlesztési folyamat kockázata nagy lehet. Gold rámutat arra, hogy egy etikátlan programozó hátsó ajtót helyezhet be kódjába, megtalálhatja az ügyfél-adatok vagy a szellemi tulajdon ellopásának módját, vagy átadhatja a kritikus adatokat egy másik társaságnak vagy idegen hatalomnak.
Ennek elkerülésének módja a folyamatos menedzsment, a programozó alkalmazottak munkatermékének áttekintése és a kód áttekintése, még mielőtt azt a kódkezelő rendszer elfogadná.
