Если вы программист приложения, с потенциальными (дорогостоящими) последствиями, если безопасность приложения скомпрометирована, вы несете ответственность, если что-то пойдет не так (например, данные просочились)?Кто несет ответственность за недостатки безопасности?
Означает ли это, является ли вы управляющим проектом?
Если вы когда-либо в этом качестве программиста - дорогостоящие последствия - приложение имеет недостаток безопасности - вы должны явно иметь план нарушения безопасности. Получите это в письменной форме. Расскажите о том, кто теряет работу.
Я говорю это по двум причинам. Во-первых, потому что это правда - каждый должен это делать. И два, если бы все точно знали результаты работы в результате нарушения, люди будут более безопасно кодировать.
И один последний пункт - если есть большие последствия, безопасность никогда не должна быть один ответственность пользователя.
Это будет полностью зависеть от юридической юрисдикции, договора между вами и клиентом (и любых посредников, таких как работодатель, если вы не делаете это как физическое лицо).
Вот почему большинство ЛСКПА утверждает, что нет никакой гарантии, и т.д.
Морально вы. С юридической точки зрения, вы обычно этого не делаете. Однако следите за тем, что вы подписываете.
С точки зрения менеджера проекта я бы сказал, что это ошибка программистов, если безопасность скомпрометирована, поскольку экспертная область менеджера проектов не обязательно лежит в программировании или безопасности программирования. Программист должен быть достаточно опытным, чтобы знать такие вещи, если он решает взять на себя такую задачу или хотя бы просветить себя.
Как я вижу, такие вещи, как утечки безопасности, происходят часто из-за ошибок, которые могли быть найдены при тщательном тестировании. Факт в том, что если это работа на одного человека - человек, который также является менеджером, - один человек не может думать ни о чем, и вероятность того, что вы испортите, еще больше. Но, в конце концов, это юридический контракт.
Ключевая идея заключается в том, чтобы иметь так много людей, участвующих в проекте (менеджеры, программисты, тестировщики), так что ответственность будет получать так рассеянные, что никто не может на самом деле быть полностью винил :)
Нет, эта ответственность будет находиться в отделе качества. Для действительно чувствительных приложений они должны получить стороннюю сертификацию, которая гарантирует целостность вашего приложения, или, по крайней мере, составляет подробный отчет о том, как и почему он может потерпеть неудачу.
В некоторых организациях есть команды с людьми, специализирующимися на проверках безопасности приложений с разных точек зрения
...- И для тех орг-х лет, которые не имеют такие команд - концепция безопасности должна быть заранее, как цель, выделенная с момента создания проекта. Если он не является вехой, то ни программист, ни менеджер не возьмут на себя инициативу по его реализации (часто это часто бывает в списке приоритетов часто из-за ограничений по времени, последним позаботятся - хотя важно).
Ваш «последний пункт», возможно, является самым важным из всех. –
Я согласен с @dave. Ваша «последняя точка» - самая важная. – ryanprayogo