作者:
LeonH (Leon)
2025-10-03 20:59:28我來響應一下,要怎麼說服工程團隊領導重構
拿安全性壓他,資安這東西,大家都懂,但大家也都不專業
舊架構要嘛運行的環境有已知漏洞、要嘛依賴套件有已知漏洞
去 CVEdetails.com 查一下,整理一下已知漏洞高危清單
用魔法對付魔法,「不改的話有問題你要負責嗎?」
保證沒人敢挺身說我負責,就這樣,改善軟體供應鏈的同時,順便重構。
如果有人敢挺身而出,那恭喜,以後背鍋俠就是他了。
重構完 經得黑白箱還是其他資安手段嗎 別人也是可以這樣玩
重構跟資安沒有一定相關。重構之後還是會有cve問題如果你講的是黑白箱,還比較站的住腳
作者:
DrTech (竹科管理處網軍研發人員)
2025-10-03 22:13:00這是挖洞給自己跳吧。到時候有安全問題變成修改的哪個人。未來有任何CVE變成你要修。
作者:
rotalume (rotalume)
2025-10-03 22:37:00這個不用等重構完,換Business問你feature壞了你扛嗎
作者:
brucetu (sec)
2025-10-03 23:19:00改了 有問題你負責 結果你只是基層 負不了責 還不是老大說了算 天真
作者:
pttano (pttano)
2025-10-04 07:25:00修補漏洞ㄧ定要重構?你工作了沒大學生
作者: dildoe (Dildo) 2025-10-05 07:56:00
對啊高裝檢資安 連主管機關一看都有自己違反自己下規定呵呵 如果客戶 外部沒反應問題一般都當作沒事 而且還要確定要修改部分有資安問題當重構理由一堆都iso出來的跟你在paper work 實際上怎樣 就跟台灣的iso一樣
作者:
brucetu (sec)
2025-10-05 11:27:00樓上說得好 我還被資安要求過變數名稱不可以叫password
作者:
gino0717 (gino0717)
2025-10-05 16:11:00不然你變數取叫 colin 意思是 口令
作者:
NDark (溺於黑暗)
2025-10-05 16:23:00命名這件事還確實有道理在可以反組譯的包體 解開之後先找的就是那些關鍵字譬如說把編碼的key直接寫在程式碼裡面
作者:
atst2 (atst2)
2025-10-05 16:47:00命名這件事以前有道理,現在沒有。程式碼混淆技術都出來多久了。
作者:
brucetu (sec)
2025-10-05 18:30:00我覺得假設原始碼一定會被偷 而且一定可以被攻擊者理解在這個前提下開發系統再去考慮資安問題才是有道理 畢竟你防不了離職員工
作者: tsaigi (菜雞) 2025-10-05 20:19:00
這句一出來 以後出問題就是你負責
改的話有問題你要負責? 你又憑什麼負責? 講笑話大隊?
從負責的角度來看 主管會拒絕重構就是因為他覺得你不夠格負責 不是什麼組織都能推基層出來全坦的
作者: MonyemLi (life) 2025-10-07 19:12:00
人生不能重來,上面的烏紗帽也很難。你能負責喊的很大聲,但你真能負責嗎?這不是殺掉小角色可以解決的問題。你會覺的過於悲觀,但第一句
作者:
ssccg (23)
2025-10-08 13:43:00套件庫升級跟重構兩回事現在有AI讀code,命名和混淆技術都是過去式