रियल दुनिया, कितने यहाँ में गहराई से सुरक्षा कोड समीक्षा से गुजरना? जो लोग करते हैं, कितनी बार - एक बार तिमाही में, एक बार संस्करण, एक बार नीला चंद्रमा? जो नहीं करते - क्यों नहीं? (छोटे या शौक प्रोग्रामर का जिक्र नहीं - यह नहीं कि मैं उन्हें छोटा कर रहा हूं, इसकी बस मुझे उम्मीद नहीं है ;-))।सुरक्षा कोड समीक्षा कितनी लोकप्रिय हैं?
एक सुरक्षा सलाहकार के रूप में, मैं आमतौर पर सुरक्षा समीक्षा करने के लिए बुलाया जाता हूं, हालांकि यह आमतौर पर केवल सुरक्षा-संवेदनशील संगठनों (जैसे बड़े बैंक, सॉफ्टवेयर विक्रेता, सैन्य, आदि) के लिए होता है, या नियामक आवश्यकताओं का परिणाम (जैसे पीसीआई-डीएसएस)।
अब, कुछ समूहों (जैसे माइक्रोसॉफ्ट, इंटेल, आरएसए, आदि के रूप में सबसे बड़ी कंपनियों में उन लोगों को छोड़कर) वास्तव में समीक्षा, का आनंद लें, भले ही यह वास्तव में एक सकारात्मक अनुभव होना चाहिए। ऐसा लगता है कि यह ज्यादातर सलाहकारों को लाने के लिए संसाधनों, समय, और निश्चित रूप से नकदी के कथित उच्च निवेश की वजह से है।
ठीक है, तो यह सिर्फ कथित नहीं कर रहा है, यह काफी वास्तविक है: यह आमतौर पर स्वीकार किया जाता है कि एक भी समीक्षक प्रति घंटे 50-100 एलओसी के बीच कवर कर सकते हैं। गुणा करने के लिए हालांकि हम प्रबंधित किया है कि - अधिकतम बाहर प्रति लगभग 1000 एलओसी पर हम कर सकते हैं - के बाद से हम सिर्फ विशिष्ट सुरक्षा के मुद्दों की तलाश कर रहे हैं (और ग्राहकों को कम लागत के लिए कड़ी मेहनत कर रहे हैं दबाने) और हम जोखिम के अनुसार गुंजाइश को कम कर सकते हैं घंटे। किसी भी मध्यम से बड़ी प्रणाली के लिए, यह अभी भी सैकड़ों महंगा परामर्शदाता घंटे है, बिलकुल भी नहीं।
आम सुझाव विकल्प स्वत: स्रोत कोड स्कैनर, आला मज़बूत, औंस प्रयोगशालाओं, आदि है हालांकि, लाइसेंसिंग लागत के अलावा, इस दूर है कुशल से - आम तौर पर हम इन उपकरणों 100 हजारों में परिणाम उत्पन्न करने के लिए एक साथ मिल जाए, झूठी सकारात्मक (और डुप्लिकेट) की बहुत अधिक (70-90%) दर। तो आप अभी भी परिणामों पर जा रहे समय के बड़े हिस्से खर्च कर रहे हैं, और इन उपकरणों में संभावित भेद्यता (जैसे तर्क दोष, व्यापार तर्क, आदि) का एक बड़ा सेट शामिल नहीं है
उस ने कहा, (और एक बड़ा अस्वीकरण चाहिए यहां जाएं :) मैं पिछले कुछ महीनों में एक उपकरण विक्रेताओं के साथ एक सेवा विकसित करने के लिए काम कर रहा हूं जो यह बहुत कुशलतापूर्वक करेगा - उदाहरण के लिए लगभग एक हफ्ते के काम में 500 के एलओसी को कवर करने में सक्षम हो, और फिर भी वास्तविक, वास्तविक सटीक और पूर्ण परिणाम प्रदान करें - लगभग शून्य झूठी सकारात्मक और लगभग कोई भी गलत झूठी नकारात्मक नहीं।
आप में से जो लोग एससीआर करना चाहिए, लेकिन नहीं कर रहे हैं - यह आप अन्यथा समझाने के लिए पर्याप्त होगा? या क्या आपको कुछ और वापस पकड़ रहा है? या यह सिर्फ आपके लिए कोई मुद्दा नहीं है?
स्पष्ट करने के लिए, मैं सिर्फ अपनी खुद की सुरक्षा-सुसमाचार एजेंडे से परे कुछ वास्तविक दुनिया परिप्रेक्ष्य पाने के लिए कोशिश कर रहा, मेरे या मेरी सेवा को बढ़ावा देने की कोशिश नहीं कर रहा हूँ। मैं उन मुद्दों को देखना चाहता हूं क्योंकि अन्य प्रोग्रामर उन्हें देखते हैं ...
और स्पष्टीकरण, मैं नहीं पूछ रहा हूं कि कोड समीक्षा कैसे करें, कौन से विकल्प हैं आदि। मुझे इस क्षेत्र में बहुत विशेषज्ञता है, और यह यह विशेषज्ञता है कि मैं अपने ग्राहकों को बेचता हूं। मेरा सवाल यह है कि अगर आईएफ कोड समीक्षा गैर-लोकप्रिय हैं, तो वे क्यों दिखते हैं, क्यों यह विशिष्ट गतिविधि उतनी लोकप्रिय नहीं है जितनी होनी चाहिए, और हम इसे बदलने के बारे में कैसे जा सकते हैं। (कार्यप्रणाली की पसंद, उपकरण, आदि के अप्रासंगिक)
इसके अलावा, के रूप में Corneliu और अन्य लोगों ने बताया, सुरक्षा कोड समीक्षा अकेले नहीं एकमात्र संरक्षण और एक प्रणाली की सुरक्षा के सत्यापन के रूप में लिया जाना चाहिए, बल्कि होना चाहिए एक पूर्ण, समग्र एसडीएलसी (सुरक्षित विकास जीवन चक्र) ढांचे का एक तत्व। हालांकि, न ही इसे भुलाया जाना चाहिए। तो मेरा सवाल वास्तव में उस तत्व पर ध्यान केंद्रित कर रहा है, चाहे पूर्ण एसडीएलसी के संदर्भ में या अकेले घुमावदार और पैच से एक कदम आगे।
बीटीडब्ल्यू, उपयोगकर्ता # 100,000 होने पर बधाई! –