|
||||
|
||||
הסיבה שלחברה שבה אני עובד אכפת מאבטחת איכות הוא שלפני שהתחלנו להשתמש בנהלי אבטחת איכות (כשהחברה הייתה צעירה) הוחזרו יותר מדי מוצרים. שיעור גבוה של החזרת מוצרים עולה כסף (הרבה התעסקויות וכדומה, ללא קשר למי שמשלם על תובלת המוצר). למה שלמישהו יהיה אכפת ממוצר עם חור אבטחה? הוא ממשיך לעבוד כרגיל מבחינת הצרכן. גרוע מכך: במצב שנוצר בשוק, אין ליצרנים מחויבות להמשיך לתחזק את התוכנה במקרים רבים. ולכן הם ממהרים לעבור הלאה למוצר הבא ולא ממשיכים לפתח את התוכנה של מוצר הנוכחי. |
|
||||
|
||||
לפסקה הראשונה - בנוסף לשימוש בנהלי אבטחת איכות, האם גם הענקתם תשומת לב לנהלי התכנון הפיתוח והבדיקות, שזה תחת הרובריקה של הבטחת איכות. לשניה - חור אבטחה שונה כמובן מאבטחת איכות. אותה מלה במובן שונה. כאן הסיפור שונה ואני מנחש שזה קשור להתנהלות עסקית, אחריות משפטית (שלא לדבר על אתית), תרבות ארגונית, וכיוב'. |
|
||||
|
||||
1. כן. באופן כללי זה חלק מאבטחת איכות במובן הרחב. 2. חור אבטחה הוא סוג של באג. הוא מאפשר שימוש במוצר לא כפי שתכננו אותו. אבל האם חור האבטחה מפריע ללקוחות? עד כמה? |
|
||||
|
||||
זאת הערכת סיכונים שאתם צריכים לעשות, ולו מגאווה מקצועית אם לא משיקולים מסחריים ואתיים כמובן. |
|
||||
|
||||
נטפוק קצר.. חורי אבטחה היו גם לפני שהיו מחשבים ולפני שהיה אינטרנט. וסתמו את החורים האלו עם מנעולים, שומרים וכו'. האינטרנט שינה דבר מאד משמעותי. בעולם הפיזי פורצים צריכים להגיע פיזית למקום שהם צריכים לפרוץ. אז במקום שאין הרבה פריצות, לא ישקיעו במנעולים יותר מדי. בעולם האינטרנט אין לגבולות הפיזיים משמעות. פורץ דווקא יעדיף לפרוץ למחשב במדינה אחרת במקום למחשב במדינה שלו. הוא גם לא מתעניין אישית במחשב או בתוכנה שלך, הוא שולח אלף בוטים במקומו ומי שיצליח יצליח. התכונות המיוחדות האלו של האינטרנט זה משהו שקשה לאנשים לעכל.. כלומר אם אני בעל חנות פרחים, אני אדאג לשים מנעול על החנות כי ככה כולם בשכונה עושים וזה נשמע לי הוצאה סבירה. אבל אם אני מחליט לשלם למישהו שיעשה לי אפליקציה להזמנת פרחים, פתאום אני צריך להיות מודע לכך שפורצים מברזיל, אוקריאינה וכו' יכולים לגנוב כרטיסי אשראי של לקוחות - אפילו אם הם בכלל לא שמעו על המדינה שלי. ואיזה כלים יש לי להבחין בין מודל האבטחה של חברה X, למודל האבטחה של חברה Y? בטח ובטח אם החברות האלו יושבות במדינה זרה. ונניח שלפני 5 שנים שילמתי שיעשו לי אפליקציה, אני פתאום צריך לשלם למישהו שיעדכן את האבטחה שלה פעם בכמה זמן (למרות שקשה לי להבין מה יוצא לי מזה). הדברים שכתבת - התנהלות עסקית, אחריות משפטית, אתיקה וכו' הם דברים שהרבה פעמים עשויים להיות לא רלוונטים. איזה משמעות יש לאחריות משפטית בישראל למשל, אם אני יכול לשלם לחברה הודית שתבנה לי אתר או אפליקציה? או אפילו להקים אתר בעצמי על גבי איזשהי פלטפורמת wordpress שהשרתים שלה יושבים בדובאי והקוד שלה הוא open-source שאלפי אנשים שונים ממדינות שונות כתבו? בקיצור המצב פסימי :-( |
|
||||
|
||||
הייתי מעורב בפרוייקט שניסה לתת מענה לבעיה מהסוג הזה, סיכונים באימוץ תוכנות בקוד פתוח. אתה יכול לקרא עליו בלינק RISCOSS. |
|
||||
|
||||
זה חשוב. אבל זה לא ממש פותר את הבעיה המהותית של אותו בעל חנות פרחים.. או סתם מישהו שמזמין סטרימר באמזון וצריך להיות מודע לכך שעכשיו הרשת הביתית שלו בסכנה. |
|
||||
|
||||
הדבר הזה הוא נסיון לפתור את הבעיה המהותית... http://nymote.org/blog/2013/introducing-nymote/ (אם כי בעיני זה עדיין בחיתולים). ממש בקצרה, הרעיון הוא שלכל אחד יהיה "ענן פרטי" מבודד מהאינטרנט (שכולל את כל המכשירים החכמים שלך). ושתהיה לו שליטה מלאה מה רץ על הענן הזה, ומה ההרשאות של כל דבר שרץ על הענן הזה. זה קצת מזכיר טלפון חכם: אתה קובע בדיוק איזה אפליקציות רצות עליו, ומה מותר לכל אפליקציה לעשות. |
|
||||
|
||||
לענן פרטי קוראים מחשב אישי. כמו שנאמר: אין ענן. יש מחשבים של אחרים. |
|
||||
|
||||
אני לא יודע אם אתה רציני.. אבל לענן הפרטי שהם מדברים עליו לא קוראים מחשב אישי. |
|
||||
|
||||
(ההבדל בין תוכנה חופשית לתוכנה קניינית בתחום הזה הוא שעל תוכנה חופשית יש לך בעיקרון יכולת לבדוק את הדברים בעצמך. ר’ לדוגמה המיזם שעליו הצביע רון, ואילו בתוכנה קניינית אתה חייב להאמין למפתחים. אבל מעבר לזה אין הבדל מהותי) |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |