1 min de leitura ·

sobre injeção de código malicioso

to postando qualquer coisa só pra ter tab coins.

o que te impede de injetar um keylogger no programa da empresa? no meu caso, é só a ética mesmo, não temos um sistema que trave o check-in. Temos um procedimento de ter pelo menos duas pessoas lendo o code review antes de fazer o check-in. Mas, pra fazer check-in, qualquer pessoa do time pode fazer.

é certo que temos que ter certo grau de confiança na equipe, mas e quando se trata de usar bibliotecas públicas, como garantir que não há código malicioso nelas?

devemos confiar em todos devs?

Fonte: http://ric.cps.sp.gov.br/bitstream/123456789/2959/1/20181S_BONILuaRapelli_OD0433.pdf

maniero

1 ano atrás

Não tem jeito. Ou tem que ter a confiança, sobre qualquer coisa, qualquer um, ou tem que ter métodos muito fortes para avaliar tudo o que é usado. O que não torna a confiança desnecessária, aí muda onde deve ter a confiança.

Se não confia em algo, tem que avaliar cada código que entra ou sai e deve ter o trabalho de fazer isso profundamente e de forma competente. Em muitos casos começará a fazer sentido fazer por conta própria para ter mais confiança. Por isso, a maioria só prefere confiar e assumir o prejuízo se ele acontecer.

Faz sentido para você?

Espero ter ajudado.

Farei algo que muitos pedem para aprender a programar corretamente, gratuitamente. Para saber quando, me segue nas suas plataformas preferidas. Quase não as uso, não terá infindas notificações (links aqui).

ainjackson

Autor

1 ano atrás

acho muito vulnerável essa ideia de confiar cegamente.
O Jomma até disse q trabalhou num a empresa grande e teve que fazer quase tudo do zero, quase tudo mesmo. a grande maioria das empresas nao tem essa preocupação, e nem sequer mapeiam esse risco.
vou colocar o video do jomma aqui pra vcs verem, na parte em que ele fala desse emprego em que teve q fazer quase tudo do zero.

edit: video do joma
vejam a obs acima do video no minuto 4:39
https://youtu.be/1fPWr0d5zBE&t=218

maniero

1 ano atrás

Sim, totalmente. As empresas fazem cada maluquice, depois reclama que são sacaneadas, que ficam reféns de crackers e tomam processos. Não é só isso, tem muita decisão errada. Eu sei que em muitos casos os dirigentes maiores da empresa aceitam os riscos porque não entendem a gravidade, mas em outros é o TI que faz errado. Por exemplo, vai deixar a comunciação da empresa passar pelo WhatsApp? É uma loucura. Eu sei que é o canal de comunicação preferido das pessoas, mas ele gera problemas para a empresa. O Telegram, com algum trabalho, funciona melhor, o maior problema é fazer as pessoas usarem. Se a empresa quer assumnir o risco é ok, mas o TI tem que alertar que sobre o problema, mas muitos "profisionais" da área não sabem que eels existem. Só porque parece que está tudo ok, não quer dizer que está.