不好意思认真回一下
签约前和签约后做法不一样，签约后会有保密义务，虽然听起来是公开程式码但是
签约后你不能把这个漏洞拿去 hitcon zeroday 换好宝宝章。
签约前你可以拿去 hitcon zeroday，或者是回报给他们老板，然后按码表，看多久会修
决定要不要待。
然后更好的做法是你可以打听看看这个程式码有哪些客户使用，例如某公部门、某银行、
某上市公司，之后直接打电话进该公司的资安主管部门和他们验证，经验上这样会修的比
较快。
写出漏洞不一定是问题，因为漏洞不一定会被发掘，有可能因为没有人力Review或是价值
过低所以存放两年都没发现，CVE-2014-0160 Heartbeat 漏洞就是这类型的漏洞，你要说
OpenSSL 开发者不懂资安吗? 嗯?
所以我的建议就是直接附上 POC 然后回报给他们老板，我遇过的案例是老板直接转给客
服，由客服一步一步告诉我要怎么做，最后我是我回报给他们客户，附上POC，然后他们
也很有诚意的当晚漏夜把漏洞修掉。
那你从这个过程就会可以侧面观察出来你接下来是不是那个负责要漏夜把漏洞修掉的人。
以及这间公司对于漏洞回报的SOP到底是什么，有没有制度化，还是陨石雨的正在进行式?
原则上漏洞回报到公开，通常会有大概三个月左右的时间，即使是硅谷大手公司也是这样
你道义上不能回报后24小时马上就把漏洞细节公开，除非他和你说“这东西不是漏洞”
那你才可以直接公开。
为什么会有这样空窗期？因为照正常软件开发流程，程式码合并之前还是要做Review以及
测试，同时要确定同类型的漏洞(git blame)有同时修掉，所以如果他马上就修掉发新版
本，很有可能代表他们没有Review流程以及测试流程，接不接受见仁见智。
在空窗期营运团队也不是什么都不做首先是第一时间的修补以及查询，常见的做法
是将有疑虑的功能先下架再说，这部部分通常是营运团队要做的，但是也有可能规模
过小营运=开发=Devops，所以来不及反应。这部分你可以从几点开始你没办法 Query
到数据库来知道营运团队目前反应速度如何。
再来是通知义务
个资法第十二条规定
公务机关或非公务机关违反本法规定，致个人资料被窃取、泄漏、窜改或其他侵害者，应
查明后以适当方式通知当事人。
虽然我看目前上市的PC某和现在不知道球踢到哪里的OO部好像还不曾通知过个资泄漏事件
所以这部分如果该公司有做，说明这个企业主对于社会责任是很重视的。
只是有没有通知这件事情如果他只做2B，应该不好观察。
另外还有一个有趣的东西可以观察，该公司文化会不会惩处写出Bug的工程师。
我有听说过有些公司会，这种千万不要待，一点意义都没有。

推最后一段，bug数当绩效根本笑死

认真回不用不好意思！

感谢分享

最后的就是程式码乱七八糟还要求别人不写出bug 给老屁股整人用的但先前不控制质量 后来才搞一堆有的没的不是很可取

回楼上 非接案性质当然好 但接案的常常一个人可能有多个案子同时在run 没有做到好就有时间休息这种事 所以才说不要用自家产品的思维去看接案

非接案性质也是会同时跑多个案子...

推 感谢大大分享

我很怕tgyhuj01这种观念的人当上RD大主管,恐怖,到处埋雷然后推给没时间接案公司有接案公司维持品质的方法,而不是埋雷给他烂

不同位置环境不同做法 这么不会变通吗

你的变通就是放烂品质?

希望你真的是不管什么环境都始终如一 而不是说得漂亮说漂亮话大家都会 现实能做到才是真的

你不认识我所以认为我只是说说那也合理.但业界上不只是说而是真的做得到的大有人在只是你不认识而已,ptt强人很多,你是不是先检讨自己一下

这种东西需要强人才能做到吗? 我已经说了环境和位置不同

没认识那些做得到的人就以为现实上做不到,笑死

很难理解吗 说现实一点就是没钱还要求品质 慈善事业吗

环境咧,位置咧,不就是没能力的借口而已

对 像你说的都做得到 所以现实上一堆烂系统都是哪来的麻烦你赶快去改善 不要在这里用说的

你们这些找借口的RD来的啊

不做就等于没能力 你的理解真狭隘希望你做事真的如你所说 随时全力以赴不是只有在嘴巴上全力以赴

先是找一堆借口,然后再攻击别人耍嘴皮,还有什么招?

好啦 你是大圣人 我都是找借口 你很强很认真 心口如一动不动就先质疑人家没能力的 再说别人攻击你 人性如此说的好像自己真的每个案子不管条件如何都做得很完善一样

先不说重构的成本，你旧的 code 有动到就需要跑一次 test 了有在做 CI/CD 要改当然是没问题，没有的情况就不只你一个人的问题了全新的东西的话当然是建议抛弃历史包袱

看一些菜味有够浓的在那边呛，真有趣前公司也有这种半桶水菜鸟，什么都说要打掉重做

哥 你有想过甲商可能只是小商家或外包已经三包四包出来

宣称各种仙丹用了万事搞定，真的给他做就各种爆炸

外包公司也没什么利润好赚,甲方也早就没再用或收起来了说不定尾款都还欠著给不出来,外包公司就是这么屎兴致勃勃去改这种东西,就像你学弟揪着你的毕业论文说你写这烂货为什么教授让你毕业 你给我回来实验室重写喔

现实大概就是合约保固或各种成本考量，上面摆烂一个小PG也无可奈何，不然我不相信那些一天到晚个资外泄的电商或品牌官网，他们的工程师一点感觉都没有。身为一个有骨气的工程师，要嘛就块陶不然就眼睛闭起来当没看到祈祷不会核爆就好，然后告诉自己下次一定。

推分享

大公司的技术债只会更多，新创才会0技术债

0技术债代表你的东西没人用

哈哈 楼上有人太理想化了吧 我觉得某乡民说得对 没错啦接案公司有接案公司维持code干净跟架构的方法 不是做不到某某大神 某某PTT神人 某某技术长 肯定做得到 对 都对你做不到是你弱 人家神人都可以 对 没错 你说的都对但拿少数特例当常态484搞错了啥 或是对业界常态不了解?当然有那种code很干净又什么东西都做架构做模组化的接案公司 也许反映在价格上或是管理成本上 这不好说但一堆烂大街的接案公司胡搞瞎搞只求结案也是常态

"一堆烂大街的接案公司胡搞瞎搞"<-没错啊,但就不要把不要把乎搞瞎搞当作正常合理,公司高层不自我要求,RD自己也不自我要求吗?

楼上自我要求这么高 照理说应该很神才对啊

什么千年难得一遇的资安bug, 说做不到?

怎有空在这里一直鄙视人呢 动嘴做永远比动手做容易还是那句 希望你自己都有做到尽善尽美 别自打嘴巴上面一堆人说不是做不到 是现实问题不想做你整天在鄙视人家做不到 有你这种主管才可怕给的资源少的可怜 要求一大堆 这就是现实

所以你真正气的点是被鄙视,而不是写code品质.

对阿 没想到有人这么神 却不身体力行 ptt上赶快多发几篇分享你的技术和职场伦理 以你的理论来说不难吧?

被鄙视才是你真正的雷,跟你说什么环境,什么现实根本无关.

这是做的到的事情 你怎么不做呢

现在github,部落格那么方便,随便一个RD都有在网络分享技术吧,你怎么会去酸别人多分享?

那欢迎你贴上来分享阿 不要只说不做啊不是你说的吗 做的到为什么不做做的到的事情不做=能力不足 自我要求不够 不是你说的吗一直拿别人可以做到来说嘴 你自己做到了吗随便一个RD都有 代表你也有阿 为什么不分享

...你不知道github有搜寻功能?

一直找借口?贴上来很难?做不到?

你伸手牌喔?

你一直再身体力行你鄙视的事情耶 不陪你玩了

笑死,伸手牌要人贴网址,side project都public,搜就有

另外一个角度，习惯的影响力是很大的，当在垃圾堆习惯后，就算给你好的环境和足够的资源，产出的可能也是乱七八糟的东西，所以即便环境很烂，也尽量避免合理化他甚至让自己变成那种形状

最后回你一次 我听你的去搜了 结果发现你几个月前

我讲话你们觉得肚烂没关系,楼上讲的平和中肯,没理由不接受了吧

才跟人家说如果是你 会被把沟挖的更深怎么跟你主张的自我要求不太一样 公司不好 你就搞破坏吗这行为就合理是吧 果然同样的事情自己和他人标准是不同

好啦,我说的你就尽量不爽,t64141大大说的你还听不进去就不甘我屁事

现在是装圣人被揭穿 就不开心了?

笑死,整篇看起来是你自觉得被鄙视一直不开心在回击

看到有问题就想改 不考虑其他条件 这理想化的合理留给各位高手了 我们这种弱者比较适合活在现实整篇看起来好像也包含你很不开心 有没有发现?

我说的你不爽很可以啊,我尊重你,你有不爽的自由,尽量不爽.不爽完,想想人家神人怎么做的,多少学一点吧,唉

人家好好一篇文章, 你们要吵可以自己私信吵..

神人做的到是神人的事情 你做的到吗 从公司不好就想搞破坏来看 你是做不到 既然如此你在这高谈阔论自己做不到的事情？ 版面还给各位 跟原po道歉 占用了你的好文

你自觉神人是神人的事情,你自比不是神人不想去做,那也好.你觉得我做不到那也是你自己的认为我也尊重拉,但至少我认为我每天都要再多进步,不论是写code品质或是追随神人的过往经验.

这篇文底下怎么战得乱七八糟的

没头没脑地去评价别人常常就是吵起来的原因

就有人把死线当无敌星啊 讲不得

XD 死线不是无敌星啊 是甲方的尚方宝剑 会被砍滴拖过死线搞到两间公司互告的事情我看多了

感谢分享

现实中就是很难事事要求完美 这跟追求code品质习惯养成无关啊 在神的人 只会扛更多案子而已 管你能力多强

本来就是前置设施先做好 你以为会花很多时间后面搞那么多其实更花时间接不接案都是如此 搭上工具还更好当然如果这点时间都没有通常你后面也不会有时间验什么 只能靠前人前置是否完善 或者你以前统整的 只是不推荐 这样你很亏

这篇专业

crud这东西本来也就有规则可循 以前的不好相信都是有仇恨或其它

不是 kiss，你在说的应该是 ACID

kiss就是一个程式只做一件事 我查了一下acid其实差不多 我是类unix系统信徒 所以只认识kiss

…你说了才去查意思吗？ACID和KISS完全不一样

应用起来达到的效果就是差不多 不抠字眼

反正他是鄙视自己公司吧大概没多久就离职了

楼上 ??????????????????原po的话 还是有考虑回报

KISS和ACID完全不一样…各家RDS为了ACID做了不知道多少复杂的设计以应对各种极端状况

那也只是延伸 kiss只是个原则 怎么做并没有详细说acid主要也是针对数据库 但我都想脱离db我想要的也都是切开的

这哪有什么好吵的，就有些甲方付不起整套所以资安被当可选项目啊，啊这篇不就同时也提到了有些漏洞的确是没价值的所有要说是选配还真的是。不过我也同意随着你公司应付的甲方越来越有规模越有价值资安也越来越不再可以选配所以某种程度所在的公司的吸金能力跟公司有没有把资安当基本需求是正相关的。至于待的公司的吸金能力跟程式设计师的能力是不是正相关则是战到烂了板上很多其他讨论

Keep It Simple And Stupid.（让它简单些，连笨蛋都看得懂）kiss 不大像你解释的那样。我举的例子也不大好，最符合你要说的应该是SOLID

所以如何简单 什么叫作简单 你单一自然会切割功能出来 切割完怎么协作 都是需要思考的 形容的话我会形容万剑归宗 很多专业就是这样 发现一个东西额外命名它但是精华知识只有少少如果你应用并贯彻这个原则 你会得到差不多的东西再说一次 kiss只是个原则

你应该想怎么换更好的公司，这些公司比较在意这些漏洞问题

回想起来acid是有看过 之前忘记 现在越看越觉得鸡肋solid都是 果然大道至简 只是以前还没体会到

推个