Итак, я занимаюсь короткой поездкой в качестве инженера по качеству, создавая условия тестирования и тестирования. И я вижу пароли, хранящиеся в незашифрованной базе данных. Я читал по этой теме, и ясно, что это плохая практика.Сохраняет пароли в базе данных без шифрования _bug_?
Должен ли я сообщать об этом как об ошибке?
Если заявленное требование в системе заключается в том, что пароли должны храниться в зашифрованном виде, то это ошибка. Если такого явного требования нет, я бы сообщил об этом как о потенциальной слабости безопасности.
Нет, это не ошибка, но, как часть предложения, вы можете заставить разработчика зашифровать, поскольку пароли не являются простой информацией. но в конечном итоге это зависит от организации org. Обсудите вопрос.
Ошибка - это отклонение от ожидаемого поведения. Если ожидаемое поведение вашей системы включает «не сохраняет пароли в виде простого текста» или «придерживается минимальных стандартов безопасности», фактическое поведение является ошибкой. Если таких ожиданий не существует, это поведение не является ошибкой. Мы не знаем ваш продукт, поэтому мы не можем ответить на вопрос, является ли это поведение ошибкой. Если вы не знаете, является ли данное поведение ошибкой, обратитесь к ответственному лицу за определение вашего продукта.
Я бы отметил это до вашего руководства командой ... зависит ли это от ошибки, будет ли это сделано, но независимо от того, предполагается ли это, это огромная проблема. – Arran