不好意思認真回一下
簽約前和簽約後做法不一樣，簽約後會有保密義務，雖然聽起來是公開程式碼但是
簽約後你不能把這個漏洞拿去 hitcon zeroday 換好寶寶章。
簽約前你可以拿去 hitcon zeroday，或者是回報給他們老闆，然後按碼錶，看多久會修
決定要不要待。
然後更好的做法是你可以打聽看看這個程式碼有哪些客戶使用，例如某公部門、某銀行、
某上市公司，之後直接打電話進該公司的資安主管部門和他們驗證，經驗上這樣會修的比
較快。
寫出漏洞不一定是問題，因為漏洞不一定會被發掘，有可能因為沒有人力Review或是價值
過低所以存放兩年都沒發現，CVE-2014-0160 Heartbeat 漏洞就是這類型的漏洞，你要說
OpenSSL 開發者不懂資安嗎? 嗯?
所以我的建議就是直接附上 POC 然後回報給他們老闆，我遇過的案例是老闆直接轉給客
服，由客服一步一步告訴我要怎麼做，最後我是我回報給他們客戶，附上POC，然後他們
也很有誠意的當晚漏夜把漏洞修掉。
那你從這個過程就會可以側面觀察出來你接下來是不是那個負責要漏夜把漏洞修掉的人。
以及這間公司對於漏洞回報的SOP到底是什麼，有沒有制度化，還是隕石雨的正在進行式?
原則上漏洞回報到公開，通常會有大概三個月左右的時間，即使是矽谷大手公司也是這樣
你道義上不能回報後24小時馬上就把漏洞細節公開，除非他和你說「這東西不是漏洞」
那你才可以直接公開。
為什麼會有這樣空窗期？因為照正常軟體開發流程，程式碼合併之前還是要做Review以及
測試，同時要確定同類型的漏洞(git blame)有同時修掉，所以如果他馬上就修掉發新版
本，很有可能代表他們沒有Review流程以及測試流程，接不接受見仁見智。
在空窗期營運團隊也不是什麼都不做首先是第一時間的修補以及查詢，常見的做法
是將有疑慮的功能先下架再說，這部部分通常是營運團隊要做的，但是也有可能規模
過小營運=開發=Devops，所以來不及反應。這部分你可以從幾點開始你沒辦法 Query
到資料庫來知道營運團隊目前反應速度如何。
再來是通知義務
個資法第十二條規定
公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應
查明後以適當方式通知當事人。
雖然我看目前上市的PC某和現在不知道球踢到哪裡的OO部好像還不曾通知過個資洩漏事件
所以這部分如果該公司有做，說明這個企業主對於社會責任是很重視的。
只是有沒有通知這件事情如果他只做2B，應該不好觀察。
另外還有一個有趣的東西可以觀察，該公司文化會不會懲處寫出Bug的工程師。
我有聽說過有些公司會，這種千萬不要待，一點意義都沒有。

推最後一段，bug數當績效根本笑死

認真回不用不好意思！

感謝分享

最後的就是程式碼亂七八糟還要求別人不寫出bug 給老屁股整人用的但先前不控制質量 後來才搞一堆有的沒的不是很可取

回樓上 非接案性質當然好 但接案的常常一個人可能有多個案子同時在run 沒有做到好就有時間休息這種事 所以才說不要用自家產品的思維去看接案

非接案性質也是會同時跑多個案子...

推 感謝大大分享

我很怕tgyhuj01這種觀念的人當上RD大主管,恐怖,到處埋雷然後推給沒時間接案公司有接案公司維持品質的方法,而不是埋雷給他爛

不同位置環境不同做法 這麼不會變通嗎

你的變通就是放爛品質?

希望你真的是不管什麼環境都始終如一 而不是說得漂亮說漂亮話大家都會 現實能做到才是真的

你不認識我所以認為我只是說說那也合理.但業界上不只是說而是真的做得到的大有人在只是你不認識而已,ptt強人很多,你是不是先檢討自己一下

這種東西需要強人才能做到嗎? 我已經說了環境和位置不同

沒認識那些做得到的人就以為現實上做不到,笑死

很難理解嗎 說現實一點就是沒錢還要求品質 慈善事業嗎

環境咧,位置咧,不就是沒能力的藉口而已

對 像你說的都做得到 所以現實上一堆爛系統都是哪來的麻煩你趕快去改善 不要在這裡用說的

你們這些找藉口的RD來的啊

不做就等於沒能力 你的理解真狹隘希望你做事真的如你所說 隨時全力以赴不是只有在嘴巴上全力以赴

先是找一堆藉口,然後再攻擊別人耍嘴皮,還有什麼招?

好啦 你是大聖人 我都是找藉口 你很強很認真 心口如一動不動就先質疑人家沒能力的 再說別人攻擊你 人性如此說的好像自己真的每個案子不管條件如何都做得很完善一樣

先不說重構的成本，你舊的 code 有動到就需要跑一次 test 了有在做 CI/CD 要改當然是沒問題，沒有的情況就不只你一個人的問題了全新的東西的話當然是建議拋棄歷史包袱

看一些菜味有夠濃的在那邊嗆，真有趣前公司也有這種半桶水菜鳥，什麼都說要打掉重做

哥 你有想過甲商可能只是小商家或外包已經三包四包出來

宣稱各種仙丹用了萬事搞定，真的給他做就各種爆炸

外包公司也沒什麼利潤好賺,甲方也早就沒再用或收起來了說不定尾款都還欠著給不出來,外包公司就是這麼屎興致勃勃去改這種東西,就像你學弟揪著你的畢業論文說你寫這爛貨為什麼教授讓你畢業 你給我回來實驗室重寫喔

現實大概就是合約保固或各種成本考量，上面擺爛一個小PG也無可奈何，不然我不相信那些一天到晚個資外洩的電商或品牌官網，他們的工程師一點感覺都沒有。身為一個有骨氣的工程師，要嘛就塊陶不然就眼睛閉起來當沒看到祈禱不會核爆就好，然後告訴自己下次一定。

推分享

大公司的技術債只會更多，新創才會0技術債

0技術債代表你的東西沒人用

哈哈 樓上有人太理想化了吧 我覺得某鄉民說得對 沒錯啦接案公司有接案公司維持code乾淨跟架構的方法 不是做不到某某大神 某某PTT神人 某某技術長 肯定做得到 對 都對你做不到是你弱 人家神人都可以 對 沒錯 你說的都對但拿少數特例當常態484搞錯了啥 或是對業界常態不了解?當然有那種code很乾淨又什麼東西都做架構做模組化的接案公司 也許反映在價格上或是管理成本上 這不好說但一堆爛大街的接案公司胡搞瞎搞只求結案也是常態

"一堆爛大街的接案公司胡搞瞎搞"<-沒錯啊,但就不要把不要把乎搞瞎搞當作正常合理,公司高層不自我要求,RD自己也不自我要求嗎?

樓上自我要求這麼高 照理說應該很神才對啊

什麼千年難得一遇的資安bug, 說做不到?

怎有空在這裡一直鄙視人呢 動嘴做永遠比動手做容易還是那句 希望你自己都有做到盡善盡美 別自打嘴巴上面一堆人說不是做不到 是現實問題不想做你整天在鄙視人家做不到 有你這種主管才可怕給的資源少的可憐 要求一大堆 這就是現實

所以你真正氣的點是被鄙視,而不是寫code品質.

對阿 沒想到有人這麼神 卻不身體力行 ptt上趕快多發幾篇分享你的技術和職場倫理 以你的理論來說不難吧?

被鄙視才是你真正的雷,跟你說什麼環境,什麼現實根本無關.

這是做的到的事情 你怎麼不做呢

現在github,部落格那麼方便,隨便一個RD都有在網路分享技術吧,你怎麼會去酸別人多分享?

那歡迎你貼上來分享阿 不要只說不做啊不是你說的嗎 做的到為什麼不做做的到的事情不做=能力不足 自我要求不夠 不是你說的嗎一直拿別人可以做到來說嘴 你自己做到了嗎隨便一個RD都有 代表你也有阿 為什麼不分享

...你不知道github有搜尋功能?

一直找藉口?貼上來很難?做不到?

你伸手牌喔?

你一直再身體力行你鄙視的事情耶 不陪你玩了

笑死,伸手牌要人貼網址,side project都public,搜就有

另外一個角度，習慣的影響力是很大的，當在垃圾堆習慣後，就算給你好的環境和足夠的資源，產出的可能也是亂七八糟的東西，所以即便環境很爛，也盡量避免合理化他甚至讓自己變成那種形狀

最後回你一次 我聽你的去搜了 結果發現你幾個月前

我講話你們覺得肚爛沒關係,樓上講的平和中肯,沒理由不接受了吧

才跟人家說如果是你 會被把溝挖的更深怎麼跟你主張的自我要求不太一樣 公司不好 你就搞破壞嗎這行為就合理是吧 果然同樣的事情自己和他人標準是不同

好啦,我說的你就盡量不爽,t64141大大說的你還聽不進去就不甘我屁事

現在是裝聖人被揭穿 就不開心了?

笑死,整篇看起來是你自覺得被鄙視一直不開心在回擊

看到有問題就想改 不考慮其他條件 這理想化的合理留給各位高手了 我們這種弱者比較適合活在現實整篇看起來好像也包含你很不開心 有沒有發現?

我說的你不爽很可以啊,我尊重你,你有不爽的自由,盡量不爽.不爽完,想想人家神人怎麼做的,多少學一點吧,唉

人家好好一篇文章, 你們要吵可以自己私信吵..

神人做的到是神人的事情 你做的到嗎 從公司不好就想搞破壞來看 你是做不到 既然如此你在這高談闊論自己做不到的事情？ 版面還給各位 跟原po道歉 佔用了你的好文

你自覺神人是神人的事情,你自比不是神人不想去做,那也好.你覺得我做不到那也是你自己的認為我也尊重拉,但至少我認為我每天都要再多進步,不論是寫code品質或是追隨神人的過往經驗.

這篇文底下怎麼戰得亂七八糟的

沒頭沒腦地去評價別人常常就是吵起來的原因

就有人把死線當無敵星啊 講不得

XD 死線不是無敵星啊 是甲方的尚方寶劍 會被砍滴拖過死線搞到兩間公司互告的事情我看多了

感謝分享

現實中就是很難事事要求完美 這跟追求code品質習慣養成無關啊 在神的人 只會扛更多案子而已 管你能力多強

本來就是前置設施先做好 你以為會花很多時間後面搞那麼多其實更花時間接不接案都是如此 搭上工具還更好當然如果這點時間都沒有通常你後面也不會有時間驗什麼 只能靠前人前置是否完善 或者你以前統整的 只是不推薦 這樣你很虧

這篇專業

crud這東西本來也就有規則可循 以前的不好相信都是有仇恨或其它

不是 kiss，你在說的應該是 ACID

kiss就是一個程式只做一件事 我查了一下acid其實差不多 我是類unix系統信徒 所以只認識kiss

…你說了才去查意思嗎？ACID和KISS完全不一樣

應用起來達到的效果就是差不多 不摳字眼

反正他是鄙視自己公司吧大概沒多久就離職了

樓上 ??????????????????原po的話 還是有考慮回報

KISS和ACID完全不一樣…各家RDS為了ACID做了不知道多少複雜的設計以應對各種極端狀況

那也只是延伸 kiss只是個原則 怎麼做並沒有詳細說acid主要也是針對資料庫 但我都想脫離db我想要的也都是切開的

這哪有什麼好吵的，就有些甲方付不起整套所以資安被當可選項目啊，啊這篇不就同時也提到了有些漏洞的確是沒價值的所有要說是選配還真的是。不過我也同意隨著你公司應付的甲方越來越有規模越有價值資安也越來越不再可以選配所以某種程度所在的公司的吸金能力跟公司有沒有把資安當基本需求是正相關的。至於待的公司的吸金能力跟程式設計師的能力是不是正相關則是戰到爛了板上很多其他討論

Keep It Simple And Stupid.（讓它簡單些，連笨蛋都看得懂）kiss 不大像你解釋的那樣。我舉的例子也不大好，最符合你要說的應該是SOLID

所以如何簡單 什麼叫作簡單 你單一自然會切割功能出來 切割完怎麼協作 都是需要思考的 形容的話我會形容萬劍歸宗 很多專業就是這樣 發現一個東西額外命名它但是精華知識只有少少如果你應用並貫徹這個原則 你會得到差不多的東西再說一次 kiss只是個原則

你應該想怎麼換更好的公司，這些公司比較在意這些漏洞問題

回想起來acid是有看過 之前忘記 現在越看越覺得鷄肋solid都是 果然大道至簡 只是以前還沒體會到

推個