Evaluación de seguridad de outsourcing

Tratar de cortar la revisión del código en varias partes tiene dos problemas. El primero es el problema infame y siempre presente de enumerar la maldad, y el segundo es la sobrecarga de reclutar y administrar a los freelancers remotos.

Ir a una revisión abierta evitará los problemas de dividirla, pero deberás tener cuidado de asegurarte de que los profesionales independientes no se limiten a la friolera porque sienten que han escrito tanto como tú. pagado. Cualquier subcontratación remota debe especificarse con mucho cuidado, ya que ser muy específico acerca de cómo desea que se reporte la revisión, gestionará el riesgo de que los freelancers se detengan antes. Desarrollar esta especificación interactivamente con el profesional independiente, tal vez incluso comenzando con una pizarra en blanco completa, brindará una gran oportunidad para evaluar el alcance y la profundidad de su conocimiento mejor de lo que lo permitiría un cuestionario.

La combinación deliberada del código para la revisión con problemas también es un posible enfoque para evaluar a los revisores, pero la retroalimentación es demasiado tardía en el proceso para que sea útil a menos que busque que los revisores los utilicen de forma repetida.

Si bien la obtención de varias revisiones probablemente valdrá la pena, puede que no valga la pena el aumento en los gastos generales del proceso. La compensación variará de una organización a otra: si el personal técnico está haciendo todo el reclutamiento y la administración, es probable que su tiempo se invierta mejor en el código y en la revisión interna. Si el tiempo de gestión del proyecto está bastante disponible, los gastos generales pueden ser aceptables.

Si bien no tengo experiencia en contratar a alguien de un sitio independiente para hacer revisiones de código, pensando en la pregunta, creo que realmente estás buscando a alguien que pueda ser otro ojo para detectar alguna omisión. Suena como un 'duh momento que sé. Pero, si lo que pregunta es si puede abofetear algo, entonces obtenga un editor de código seguro para embellecerlo y hacerlo agradable, mientras que todo lo que hace es concentrarse en la lógica ... Creo que lo será. decepcionado.

Necesita saber y probablemente tenga su código 95-97% listo para usar, ya que está usando algunos principios de codificación segura, cree que desde el principio no puede agregarlo al final. ¿Qué tal si se hace amigo de un JUG u otro grupo de programación local? Tal vez establezca una relación allí y vea si no puede obtener una revisión del código de esa manera o al menos tal vez alguien puede pasarle la voz a alguien.

Creo que quieres ser específico si vas a ir por la ruta independiente. Comparta partes de su programa y contrálelas para buscar un tipo específico de vulnerabilidad. El análisis de código es un proceso largo y es posible que no obtenga un buen producto si alguien que valora su tiempo por hora sabe que buscar un error solo vale la pena por X horas, pero ha recibido un pago por un tiempo inferior al requerido. Así que la motivación se ha ido. Es una entrevista, tal vez sería una buena idea lanzarles algo que saben que es un error para asegurarse de que puedan encontrarlo.

Tengo curiosidad por saber cómo las personas con más experiencia en esto responderán a tu pregunta.