您的位置首页 >资讯 >

自定义编码项目期间保护您的业务

2019年7月19日,合同程序员David Tinley对他故意损坏西门子公司计算机的指控表示认罪。根据该案的文件,廷利在他在宾夕法尼亚州门罗维尔市为西门子开发的代码中植入了逻辑炸弹。这些逻辑炸弹是代码的一部分,被定时在项目完成后数周或数月内造成破坏,目的是确保Tinsley不得不修复被认为是bug的问题,从而获得稳定的收入。当他被叫来解决问题时,廷斯利只是更改了逻辑炸弹上的日期,以便以后再次使用。

最终,另一位程序员在休假时被要求修复Tinsley的代码,然后才发现了情节。现年62岁的廷斯利(Tinsley)在被捕之前已经在西门子工作了大约12年,但是在那段时间里,他从未受到任何怀疑。判刑定于2019年11月8日进行,廷斯利可能会面临长达10年的监禁,并处以最高25万美元的罚款。

雇用备份编码器

那么,为什么我要告诉你所有这些呢?毕竟,您可能雇用一个故意将逻辑炸弹放入您的自定义代码中的程序员的机会并不大。尽管这些机会不为零,但是当有人为您的组织编写代码时,还有许多其他事情可能出错。

“如果那个人离开或掉下尸体怎么办?”问J. Gold Associates首席分析师Jack Gold。Gold建议,在雇用某人进行开发时,始终需要备份。毕竟,自定义代码就是您的代码。如果发生问题,除非有计划,否则没有第三方可以与您联系。他还建议,公司在开发过程中还需要采取其他一些步骤来保护自己,其中主要的一点是要求代码审查。

Camden Associates的首席分析师Alan Zeichick说:“代码审查可能是找出代码内容的最佳方法,其中包括逻辑炸弹,安全漏洞或愚蠢的错误(例如,硬连接硬件位置等)。数据库]。”

Zeichick补充说:“还有其他原因进行代码审查。”“它可以帮助您的开发团队更好地了解开发的工作原理,帮助初级程序员更好地理解。代码审查还有助于帮助团队经理了解开发团队的质量并估算开发时间。这将需要完成工作。

进行规范审查

Zeichick说,有两种方法可以进行代码审查。“您可以拥有一个由两个人组成的团队,也可以在会议室开会以审查代码。”

随着程序员越来越难找到,每个成员都在其中审查其他人的代码的团队越来越受欢迎。但是在较大的组织中,定期会议以检查代码仍然很有用,因为这样几组眼睛可以在检查过程中提供帮助。Zeichick说,即使是最高级的程序员也应该对其代码进行审查。

那么,为什么西门子允许廷利在所有这些年中都无需进行代码审查?根据他的律师在审判期间的评论,廷利认为他的代码是专有的,并以此为借口不审查他的代码。

为何允许这种情况尚不清楚,但Zeichick和Gold都指出,代码审查的要求应成为企业与独立编程机构之间任何合同的一部分。戈尔德建议,合同不仅要提及代码审查,还应说明如何以及何时进行。

Zeichick指出,一些大型开发公司可能会进行自己的代码审查,这是很有意义的。他说:“进行代码审查的最好的人是开发团队的人。”

代码审查几乎永远存在。当我对管理的大型政府设施团队的程序员,我们就找过头脑麻木行COBOL每周五下午。虽然很乏味,但我们确实经常发现疏忽,错误,引用放置错误或其他编码错误。事实是,我们所有人都会犯错,明智的审查可以使代码对每个人都更好。

不幸的是,程序员有时会讨厌代码审查,以为他们在浪费时间。其他人则说,他们不希望别人再次猜测自己的代码。但是事实是,拒绝允许审查代码应该是一个危险信号。如果您要支付要编写的代码,则您的合同可以合理地包括对审查的要求。拒绝这样做会导致被解雇。

不幸的是,如今很难找到优秀的程序员。需求很高,在某些情况下,合同程序员认为他们可以指定不必提交代码审核,即使他们的联系人说可以。

避免此类问题的最佳方法是,首先要索取资料,然后致电参考资料进行先前的工作。第二,从第一天开始执行代码审查。这样,它们就成为一种习惯,拒绝评论的程序员可以立即被驳回-在它们对开发过程变得至关重要之前。

不幸的是,开发过程中的风险可能很大。戈尔德指出,不道德的程序员可以在您的代码中插入后门,找到窃取客户数据或知识产权的方法,或将关键数据传递给另一家公司或外国公司。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。