目录:
视频: 太平åæ°æåä¸å¿ (十一月 2024)
2019年7月19日,合同程序员David Tinley对他故意损坏西门子公司计算机的指控表示认罪。 根据该案的文件,廷利在他在宾夕法尼亚州门罗维尔市为西门子开发的代码中植入了逻辑炸弹。 这些逻辑炸弹是代码的一部分,被定时在项目完成后数周或数月内造成破坏,目的是确保Tinsley从必须修复被认为是bug的问题中获得稳定的收入。 当他被叫来解决问题时,廷斯利只是更改了逻辑炸弹上的日期,以便以后再次使用。
雇用备份编码器
那么,为什么我要告诉你所有这些呢? 毕竟,您可能会雇用一个故意将逻辑炸弹放入您的自定义代码中的程序员的机会并不大。 尽管这些机会不为零,但是当有人为您的组织编写代码时,还有许多其他事情可能出错。
“如果那个人离开或坠落会怎样?” 问J. Gold Associates首席分析师Jack Gold。 Gold建议,在雇用某人进行开发时,始终需要备份。 毕竟,自定义代码就是您的代码。 如果出现问题,除非有计划,否则没有第三方可以与您联系。 他还建议公司在开发过程中还需要采取其他一些步骤来保护自己,其中主要的一点是要求代码审查。
Camden Associates首席分析师Alan Zeichick说:“代码审查可能是找出代码中内容的最好方法,其中包括逻辑炸弹,安全漏洞或愚蠢的错误。”
Zeichick补充说:“还有其他原因进行代码审查。” “它可以帮助您的开发团队更好地理解开发的工作原理,帮助初级程序员更好地理解。代码审查还有助于帮助团队经理了解开发团队的质量并估算开发时间。这将需要完成工作。
进行规范审查
Zeichick说,有两种方法可以进行代码审查。 “您可以拥有一个由两个人组成的团队,也可以在会议室开会以审查代码。”
随着程序员越来越难找到,每个成员都在其中审查其他人的代码的团队越来越受欢迎。 但是在较大的组织中,定期召开会议以审查代码仍然很有用,因为这样几组眼睛可以在审查过程中提供帮助。 Zeichick说,即使是最高级的程序员也应该对其代码进行审查。
那么,为什么西门子允许廷利在所有这些年中都无需进行代码审查? 根据他的律师在审判期间的评论,廷利认为他的代码是专有的,并以此为借口不审查他的代码。
为何允许这种情况尚不清楚,但Zeichick和Gold都指出,代码审查的要求应成为企业与独立编程机构之间任何合同的一部分。 戈尔德建议,合同不仅要提及代码审查,还应说明如何以及何时进行。
Zeichick指出,一些大型开发公司可能会进行自己的代码审查,这是很有意义的。 他说:“进行代码审查的最好的人是开发团队的人。”
避免恶意编码员
代码审查几乎永远存在。 当我管理一个大型政府机构的程序员团队时,我们每个星期五下午都要进行一些令人麻木的工作。 虽然很乏味,但我们确实经常发现疏忽,错误,引用放置错误或其他编码错误。 事实是,我们每个人都会犯错误,明智的审查可以使代码对每个人都更好。
不幸的是,程序员有时会讨厌代码审查,以为他们在浪费时间。 其他人则说,他们不希望别人再次猜测自己的代码。 但是事实是,拒绝允许审查代码应该是一个危险信号。 如果您要支付要编写的代码,则您的合同可以合理地包括对审查的要求。 拒绝这样做会导致被解雇。
不幸的是,如今很难找到优秀的程序员。 需求很高,在某些情况下,合同程序员认为他们可以指定不必提交代码审核,即使他们的联系人说可以。
避免此类问题的最佳方法是,首先要求获得参考,然后致电参考文献进行先前的工作。 第二,从第一天开始执行代码审查。 这样,它们就成为一种习惯,拒绝评论的程序员可以立即被驳回-在它们对开发过程变得至关重要之前。
- 被黑客入侵时该怎么办?
- 数据泄露后6件事不要做的事情数据泄露后6件事不要做的事情
- 勒索软件攻击后佛罗里达市向黑客支付600, 000美元勒索软件攻击后佛罗里达市向黑客支付600, 000美元
不幸的是,开发过程中的风险可能很大。 Gold指出,不道德的程序员可以在您的代码中插入后门,找到窃取客户数据或知识产权的方法,或将关键数据传递给另一家公司或外国公司。
防止这种情况的方法是连续进行管理,检查编程人员的工作产品,并在代码被系统代码管理系统接受之前对其进行检查。
