Tieši tāpēc labāk savus darbus ir iedot notestēt citiem, jo pats savos darbos programmētājs (neapzināti vai apzināti) meklē ķļūdas tur, kur izstrādes laikā radās šķietamās problēmas. Kur bija kaut kādas aizķeršanās. 🙂 Tieši tāpēc, nopietnās kompānijās tiek algoti tā sauktie “profesionālie idioti”, kas meklē kļūdas programmētāju darbos.
gygy, tie saucas testētāji.
pieeja ir vai nu regulāra baltās kastes testēšana, vai arī neregulārs koda audits. Jebkurā gadījumā, pielaižot pie sistēmas vāji sagatavotu testētāju armiju produktivitāte būtu daudz zemāka nekā palaižot pie tās sistēmu arhitektu ar uzdevumu “dabūn admina tiesības!”. Testētāji, kas nav koderi, 2 nedēļas iepazīsies ar sistēmu un atklās, ka “sistēma aprauj tekstus, ja ziņas virsrakstā ir vairāk par 32KB teksta”.
Bet “profesionāli” auditori paši redzam, kā strādā – miljons pārskaitīts, bet jēga tikai “uz papīra”. Atkārtoju vēlreiz – normāls sistēmu arhitekts/vecākais programmētājs, kurš visu laiku ir ar rokām kodā, uzrādīs maksimālo price/performance jaudu kritiski svarīgu kļūdu atrašanā+novēršanā. Tīņu-SQL injekciju mēģinātāju armiju var laist, lai atrastu tikai 3min laikā atrodamās ievainojamības, nevis visas.
P.S. Protams, ka problēma ir kaut kur pa vidu, starp izstrādes firmu un VID. Jo vai nu vieniem, vai otriem vajadzēja nodrošināt kādu, kas to visu arī regulari uztur un testē. Ne jau tantītes, kas tur vada datus iekšā, var pateikt, kas ir bugains un kas ir caurumains.
Ja uz VID servera TIEŠ Ä€M nekas nav mainīts, tad tā ir
Penetration testing sistēmas drošībai, stresstesti (servera prasību noteikšanai pēc lietotāju skaita) – tas viss ir Exigen atbildība un neviena cita.
Ja dēļ cauras VID servera sambas būtu pwnz0rēts VID serveris un caur to dabūti dati, kas savādāk nebūtu dabūjami, tad varētu runāt, ka Exigens ir balts, pūkains un nevainīgs.
.
