Stack Overflow: почему это может быть небезопасно?
Не секрет, что различные разработчики нередко обращаются к stack overflow и другим подобным онлайн-источникам для того, чтобы найти решение своих проблем, сэкономить время и просто понять, как работают те или иные алгоритмы. Проблема в том, что это не всегда безопасно.
Да, это безусловно удобно — готовые лучшие практики, возможность взять уже созданный код и сэкономить время. Такое поведение в итоге формирует фрагменты кода, сгенерированные сообществом и многократно использованные, но при этом влияние такого поведения на безопасность разработки ... как минимум, под вопросом.
Защищенность итогового продукта — штука вообще достаточно важная. Когда мы говорим о чьем-то коде, мы зачастую даже близко не представляем, кем он написан, как, а главное — безопасен ли он. И можно ли им вообще пользоваться в каждой конкретной ситуации.
На эту тему есть множество исследований — например, здесь говорят о том, что около 15% из 1,3 миллионов проанализированных android-приложений содержали фрагменты кода, найденные (или размещенные) на stackoverflow, и 97,9 из них содержат как минимум один небезопасный фрагмент.
В идеальном варианте, любой размещаемый там код должен быть проанализирован на предмет безопасности. Да, в реалиях работы со свободно распространяемым программным обеспечением это утопия ... но тут ведь как. Бездумное копирование уже готовых решений иногда выглядит ещё хуже.
А что можно сделать для своей компании?
Заблокировать Stack Overflow. Построить процесс безопасной разработки (SSDLC)! Это многогранный процесс включающий автоматический анализ кода, обучение основам безопасной разработки и контроль на всех этапах.
Мы готовы бесплатно проконсультировать вас или построить для вас SSDLC, исходя из вашего бюджета.
Не секрет, что различные разработчики нередко обращаются к stack overflow и другим подобным онлайн-источникам для того, чтобы найти решение своих проблем, сэкономить время и просто понять, как работают те или иные алгоритмы. Проблема в том, что это не всегда безопасно.
Да, это безусловно удобно — готовые лучшие практики, возможность взять уже созданный код и сэкономить время. Такое поведение в итоге формирует фрагменты кода, сгенерированные сообществом и многократно использованные, но при этом влияние такого поведения на безопасность разработки ... как минимум, под вопросом.
Защищенность итогового продукта — штука вообще достаточно важная. Когда мы говорим о чьем-то коде, мы зачастую даже близко не представляем, кем он написан, как, а главное — безопасен ли он. И можно ли им вообще пользоваться в каждой конкретной ситуации.
На эту тему есть множество исследований — например, здесь говорят о том, что около 15% из 1,3 миллионов проанализированных android-приложений содержали фрагменты кода, найденные (или размещенные) на stackoverflow, и 97,9 из них содержат как минимум один небезопасный фрагмент.
В идеальном варианте, любой размещаемый там код должен быть проанализирован на предмет безопасности. Да, в реалиях работы со свободно распространяемым программным обеспечением это утопия ... но тут ведь как. Бездумное копирование уже готовых решений иногда выглядит ещё хуже.
А что можно сделать для своей компании?
Мы готовы бесплатно проконсультировать вас или построить для вас SSDLC, исходя из вашего бюджета.