Re: [心得] 花了很多時間重構卻被打槍用舊code
看板Soft_Job (軟體人)作者SkankHunt42 (凱子爸)時間3周前 (2025/10/03 23:21)推噓11(11推 0噓 4→)留言15則, 11人參與討論串11/12 (看更多)
※ 引述《LeonH (Leon)》之銘言:
: 我來響應一下,要怎麼說服工程團隊領導重構
: 拿安全性壓他,資安這東西,大家都懂,但大家也都不專業
: 舊架構要嘛運行的環境有已知漏洞、要嘛依賴套件有已知漏洞
: 去 CVEdetails.com 查一下,整理一下已知漏洞高危清單
: 用魔法對付魔法,「不改的話有問題你要負責嗎?」
: 保證沒人敢挺身說我負責,就這樣,改善軟體供應鏈的同時,順便重構。
: 如果有人敢挺身而出,那恭喜,以後背鍋俠就是他了。
有個滿有趣的案例
OpenSSH 2006年有個CVE-2006-5051
是因為SIGALRM不當 導致heap管理的執行續被中斷
後來被修正 但在2021的時候又被錯改回來 叫CVE-2024-6387
OpenSSH 8.5p1 的release notes說明中為:
This release is focused on new features and internal refactoring.
https://bugzilla.redhat.com/show_bug.cgi?id=2294604
Marco Benatto提到
This regression was introduced in October 2020 (OpenSSH 8.5p1) by commit
752250c ("revised log infrastructure for OpenSSH"), which accidentally
removed an "#ifdef DO_LOG_SAFE_IN_SIGHAND" from sigdie(), a function that is
directly called by sshd's SIGALRM handler.
https://github.com/openssh/openssh-portable/commit/752250c
看來這哥們確實是在重構 因為原本sigdie變成sshsigdie
至於為什麼他要刪除#ifdef DO_LOG_SAFE_IN_SIGHAND
可能他覺得本來就很safe 也有可能他覺得行為一致
反正也沒有前人留下充滿怨念的註解警告
(反正大家一定見過那種"祖宗之法不可變"的程式碼註解警告
就跟進飯店房間要先敲門一樣 寧可信其有不可信其無)
所以他可能就直接刪除了
所以說以資安避免CVE出現的觀點來進行重構提議
老實講 我的想法是 嗯~~~
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 149.22.87.116 (日本)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1759504880.A.78D.html
※ 編輯: SkankHunt42 (149.22.87.116 日本), 10/03/2025 23:21:56
推
10/04 00:09,
3周前
, 1F
10/04 00:09, 1F
推
10/04 01:14,
3周前
, 2F
10/04 01:14, 2F
推
10/04 02:10,
3周前
, 3F
10/04 02:10, 3F
推
10/04 02:32,
3周前
, 4F
10/04 02:32, 4F
推
10/04 09:01,
3周前
, 5F
10/04 09:01, 5F
推
10/04 09:30,
3周前
, 6F
10/04 09:30, 6F
推
10/04 09:33,
3周前
, 7F
10/04 09:33, 7F
→
10/08 13:48,
3周前
, 8F
10/08 13:48, 8F
→
10/08 13:49,
3周前
, 9F
10/08 13:49, 9F
推
10/09 02:28,
3周前
, 10F
10/09 02:28, 10F
推
10/09 10:16,
3周前
, 11F
10/09 10:16, 11F
→
10/09 10:16,
3周前
, 12F
10/09 10:16, 12F
→
10/09 10:20,
3周前
, 13F
10/09 10:20, 13F
推
10/13 16:13,
2周前
, 14F
10/13 16:13, 14F
推
10/14 21:32,
2周前
, 15F
10/14 21:32, 15F
討論串 (同標題文章)
完整討論串 (本文為第 11 之 12 篇):
Soft_Job 近期熱門文章
PTT職涯區 即時熱門文章
46
72
