Re: [心得] 花了很多時間重構卻被打槍用舊code

看板Soft_Job (軟體人)作者 (Leon)時間3周前 (2025/10/03 20:59), 編輯推噓7(9230)
留言41則, 21人參與, 3周前最新討論串10/12 (看更多)
我來響應一下,要怎麼說服工程團隊領導重構 拿安全性壓他,資安這東西,大家都懂,但大家也都不專業 舊架構要嘛運行的環境有已知漏洞、要嘛依賴套件有已知漏洞 去 CVEdetails.com 查一下,整理一下已知漏洞高危清單 用魔法對付魔法,「不改的話有問題你要負責嗎?」 保證沒人敢挺身說我負責,就這樣,改善軟體供應鏈的同時,順便重構。 如果有人敢挺身而出,那恭喜,以後背鍋俠就是他了。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.214.0.71 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1759496370.A.FEC.html

10/03 21:55, 3周前 , 1F
重構完 經得黑白箱還是其他資安手段嗎 別人也是可以這
10/03 21:55, 1F

10/03 21:55, 3周前 , 2F
樣玩
10/03 21:55, 2F

10/03 21:57, 3周前 , 3F
重構跟資安沒有一定相關。重構之後還是會有cve問題
10/03 21:57, 3F

10/03 21:59, 3周前 , 4F
如果你講的是黑白箱,還比較站的住腳
10/03 21:59, 4F

10/03 22:13, 3周前 , 5F
改的話有問題你要負責嗎
10/03 22:13, 5F

10/03 22:13, 3周前 , 6F
這是挖洞給自己跳吧。到時候有安全問題變成修改的哪個人。
10/03 22:13, 6F

10/03 22:13, 3周前 , 7F
未來有任何CVE變成你要修。
10/03 22:13, 7F

10/03 22:37, 3周前 , 8F
這個不用等重構完,換Business問你feature壞了你扛嗎
10/03 22:37, 8F

10/03 23:19, 3周前 , 9F
改了 有問題你負責 結果你只是基層 負不了責 還不是老大
10/03 23:19, 9F

10/03 23:19, 3周前 , 10F
說了算 天真
10/03 23:19, 10F

10/04 07:25, 3周前 , 11F
修補漏洞ㄧ定要重構?你工作了沒大學生
10/04 07:25, 11F

10/04 08:39, 3周前 , 12F
台灣的資安是拿來檢查的
10/04 08:39, 12F

10/04 09:54, 3周前 , 13F
會發這篇的感覺雷包
10/04 09:54, 13F

10/04 11:58, 3周前 , 14F
資安跟重構的關係是?
10/04 11:58, 14F

10/04 18:46, 3周前 , 15F
真是屁話,如果改了出問題,剛好麻煩你負責囉
10/04 18:46, 15F

10/05 07:56, 3周前 , 16F
對啊高裝檢資安 連主管機關一看都有自己違反自己下規定
10/05 07:56, 16F

10/05 07:56, 3周前 , 17F
呵呵 如果客戶 外部沒反應問題一般都當作沒事 而且還要確
10/05 07:56, 17F

10/05 07:56, 3周前 , 18F
定要修改部分有資安問題當重構理由
10/05 07:56, 18F

10/05 07:57, 3周前 , 19F
一堆都iso出來的跟你在paper work 實際上怎樣 就跟台灣的
10/05 07:57, 19F

10/05 07:57, 3周前 , 20F
iso一樣
10/05 07:57, 20F

10/05 11:27, 3周前 , 21F
樓上說得好 我還被資安要求過變數名稱不可以叫password
10/05 11:27, 21F

10/05 16:11, 3周前 , 22F
不然你變數取叫 colin 意思是 口令
10/05 16:11, 22F

10/05 16:23, 3周前 , 23F
命名這件事還確實有道理
10/05 16:23, 23F

10/05 16:23, 3周前 , 24F
在可以反組譯的包體 解開之後先找的就是那些關鍵字
10/05 16:23, 24F

10/05 16:24, 3周前 , 25F
譬如說把編碼的key直接寫在程式碼裡面
10/05 16:24, 25F

10/05 16:32, 3周前 , 26F
變數名叫colin XDDD
10/05 16:32, 26F

10/05 16:47, 3周前 , 27F
命名這件事以前有道理,現在沒有。程式碼混淆技術都出來多
10/05 16:47, 27F

10/05 16:47, 3周前 , 28F
久了。
10/05 16:47, 28F

10/05 18:30, 3周前 , 29F
我覺得假設原始碼一定會被偷 而且一定可以被攻擊者理解
10/05 18:30, 29F

10/05 18:30, 3周前 , 30F
在這個前提下開發系統再去考慮資安問題才是有道理 畢竟
10/05 18:30, 30F

10/05 18:30, 3周前 , 31F
你防不了離職員工
10/05 18:30, 31F

10/05 20:19, 3周前 , 32F
這句一出來 以後出問題就是你負責
10/05 20:19, 32F

10/06 04:08, 3周前 , 33F
改的話有問題你要負責? 你又憑什麼負責? 講笑話大隊?
10/06 04:08, 33F

10/06 12:43, 3周前 , 34F
從負責的角度來看 主管會拒絕重構就是因為他覺得你不夠
10/06 12:43, 34F

10/06 12:43, 3周前 , 35F
格負責 不是什麼組織都能推基層出來全坦的
10/06 12:43, 35F

10/06 16:16, 3周前 , 36F
推樓上
10/06 16:16, 36F

10/07 19:12, 3周前 , 37F
人生不能重來,上面的烏紗帽也很難。你能負責喊的很大
10/07 19:12, 37F

10/07 19:12, 3周前 , 38F
聲,但你真能負責嗎?這不是殺掉小角色可以解決的問題
10/07 19:12, 38F

10/07 19:12, 3周前 , 39F
。你會覺的過於悲觀,但第一句
10/07 19:12, 39F

10/08 13:43, 3周前 , 40F
套件庫升級跟重構兩回事
10/08 13:43, 40F

10/08 13:44, 3周前 , 41F
現在有AI讀code,命名和混淆技術都是過去式
10/08 13:44, 41F
文章代碼(AID): #1etyYo_i (Soft_Job)
討論串 (同標題文章)
文章代碼(AID): #1etyYo_i (Soft_Job)