Evaluación de seguridad de outsourcing

6

¿Alguien tiene experiencia en la revisión de códigos de seguridad de outsourcing a través de sitios independientes (como Rent-a-coder, Elance, Guru, Getafreelancer, etc.)? ¿Es esto efectivo? ¿Cuáles son las mejores prácticas? ¿Hay alguna trampa? ¿Alguien tiene alguna recomendación o lecciones aprendidas? ¿Hay recursos o lecturas para aprender más sobre la experiencia de otros con esto?

Algunas preguntas de ejemplo: ¿Tiene algún consejo sobre cómo buscar freelancers con conocimientos de seguridad? (¿Hay una prueba previa estándar para seleccionar a los freelancers candidatos?) Para la revisión de seguridad, ¿es más efectivo solicitar una revisión abierta o es más efectivo para crear muchas tareas más pequeñas con un alcance limitado (por ejemplo, revise este código base)? para vulnerabilidades de inyección SQL)? En cuanto a los precios, ¿existen tarifas estándar o rangos de pago? ¿Es más efectivo cobrar un precio fijo o son efectivas las bonificaciones (por ejemplo, una bonificación por encontrar una vulnerabilidad)? ¿Es un buen uso del dinero intentar contratar a varias personas para la misma tarea de revisión de código, maximizar las posibilidades de encontrar problemas y / o comparar los resultados e identificar a los profesionales independientes más eficaces?

Un problema que puede tomar fuera de alcance: puede asumir que entiendo los riesgos de compartir dicho código con personas desconocidas y me siento cómodo con eso.

    
pregunta D.W. 07.08.2011 - 05:27
fuente

2 respuestas

3

Tratar de cortar la revisión del código en varias partes tiene dos problemas. El primero es el problema infame y siempre presente de enumerar la maldad, y el segundo es la sobrecarga de reclutar y administrar a los freelancers remotos.

Ir a una revisión abierta evitará los problemas de dividirla, pero deberás tener cuidado de asegurarte de que los profesionales independientes no se limiten a la friolera porque sienten que han escrito tanto como tú. pagado. Cualquier subcontratación remota debe especificarse con mucho cuidado, ya que ser muy específico acerca de cómo desea que se reporte la revisión, gestionará el riesgo de que los freelancers se detengan antes. Desarrollar esta especificación interactivamente con el profesional independiente, tal vez incluso comenzando con una pizarra en blanco completa, brindará una gran oportunidad para evaluar el alcance y la profundidad de su conocimiento mejor de lo que lo permitiría un cuestionario.

La combinación deliberada del código para la revisión con problemas también es un posible enfoque para evaluar a los revisores, pero la retroalimentación es demasiado tardía en el proceso para que sea útil a menos que busque que los revisores los utilicen de forma repetida.

Si bien la obtención de varias revisiones probablemente valdrá la pena, puede que no valga la pena el aumento en los gastos generales del proceso. La compensación variará de una organización a otra: si el personal técnico está haciendo todo el reclutamiento y la administración, es probable que su tiempo se invierta mejor en el código y en la revisión interna. Si el tiempo de gestión del proyecto está bastante disponible, los gastos generales pueden ser aceptables.

    
respondido por el Bell 09.08.2011 - 20:32
fuente
2

Si bien no tengo experiencia en contratar a alguien de un sitio independiente para hacer revisiones de código, pensando en la pregunta, creo que realmente estás buscando a alguien que pueda ser otro ojo para detectar alguna omisión. Suena como un 'duh momento que sé. Pero, si lo que pregunta es si puede abofetear algo, entonces obtenga un editor de código seguro para embellecerlo y hacerlo agradable, mientras que todo lo que hace es concentrarse en la lógica ... Creo que lo será. decepcionado.

Necesita saber y probablemente tenga su código 95-97% listo para usar, ya que está usando algunos principios de codificación segura, cree que desde el principio no puede agregarlo al final. ¿Qué tal si se hace amigo de un JUG u otro grupo de programación local? Tal vez establezca una relación allí y vea si no puede obtener una revisión del código de esa manera o al menos tal vez alguien puede pasarle la voz a alguien.

Creo que quieres ser específico si vas a ir por la ruta independiente. Comparta partes de su programa y contrálelas para buscar un tipo específico de vulnerabilidad. El análisis de código es un proceso largo y es posible que no obtenga un buen producto si alguien que valora su tiempo por hora sabe que buscar un error solo vale la pena por X horas, pero ha recibido un pago por un tiempo inferior al requerido. Así que la motivación se ha ido. Es una entrevista, tal vez sería una buena idea lanzarles algo que saben que es un error para asegurarse de que puedan encontrarlo.

Tengo curiosidad por saber cómo las personas con más experiencia en esto responderán a tu pregunta.

    
respondido por el M15K 09.08.2011 - 04:06
fuente

Lea otras preguntas en las etiquetas