楼主:
LeonH (Leon)
2025-10-03 20:59:28我来响应一下,要怎么说服工程团队领导重构
拿安全性压他,资安这东西,大家都懂,但大家也都不专业
旧架构要嘛运行的环境有已知漏洞、要嘛依赖套件有已知漏洞
去 CVEdetails.com 查一下,整理一下已知漏洞高危清单
用魔法对付魔法,“不改的话有问题你要负责吗?”
保证没人敢挺身说我负责,就这样,改善软件供应链的同时,顺便重构。
如果有人敢挺身而出,那恭喜,以后背锅侠就是他了。
重构完 经得黑白箱还是其他资安手段吗 别人也是可以这样玩
重构跟资安没有一定相关。重构之后还是会有cve问题如果你讲的是黑白箱,还比较站的住脚
作者:
DrTech (竹科管理处网军研发人员)
2025-10-03 22:13:00这是挖洞给自己跳吧。到时候有安全问题变成修改的哪个人。未来有任何CVE变成你要修。
作者:
rotalume (rotalume)
2025-10-03 22:37:00这个不用等重构完,换Business问你feature坏了你扛吗
作者:
brucetu (sec)
2025-10-03 23:19:00改了 有问题你负责 结果你只是基层 负不了责 还不是老大说了算 天真
作者:
pttano (pttano)
2025-10-04 07:25:00修补漏洞ㄧ定要重构?你工作了没大学生
作者: dildoe (Dildo) 2025-10-05 07:56:00
对啊高装检资安 连主管机关一看都有自己违反自己下规定呵呵 如果客户 外部没反应问题一般都当作没事 而且还要确定要修改部分有资安问题当重构理由一堆都iso出来的跟你在paper work 实际上怎样 就跟台湾的iso一样
作者:
brucetu (sec)
2025-10-05 11:27:00楼上说得好 我还被资安要求过变量名称不可以叫password
作者:
gino0717 (gino0717)
2025-10-05 16:11:00不然你变量取叫 colin 意思是 口令
作者:
NDark (溺于黑暗)
2025-10-05 16:23:00命名这件事还确实有道理在可以反组译的包体 解开之后先找的就是那些关键字譬如说把编码的key直接写在程式码里面
作者:
atst2 (atst2)
2025-10-05 16:47:00命名这件事以前有道理,现在没有。程式码混淆技术都出来多久了。
作者:
brucetu (sec)
2025-10-05 18:30:00我觉得假设原始码一定会被偷 而且一定可以被攻击者理解在这个前提下开发系统再去考虑资安问题才是有道理 毕竟你防不了离职员工
作者: tsaigi (菜鸡) 2025-10-05 20:19:00
这句一出来 以后出问题就是你负责
改的话有问题你要负责? 你又凭什么负责? 讲笑话大队?
从负责的角度来看 主管会拒绝重构就是因为他觉得你不够格负责 不是什么组织都能推基层出来全坦的
作者: MonyemLi (life) 2025-10-07 19:12:00
人生不能重来,上面的乌纱帽也很难。你能负责喊的很大声,但你真能负责吗?这不是杀掉小角色可以解决的问题。你会觉的过于悲观,但第一句
作者:
ssccg (23)
2025-10-08 13:43:00套件库升级跟重构两回事现在有AI读code,命名和混淆技术都是过去式