¿Alguien tiene experiencia en la revisión de códigos de seguridad de outsourcing a través de sitios independientes (como Rent-a-coder, Elance, Guru, Getafreelancer, etc.)? ¿Es esto efectivo? ¿Cuáles son las mejores prácticas? ¿Hay alguna trampa? ¿Alguien tiene alguna recomendación o lecciones aprendidas? ¿Hay recursos o lecturas para aprender más sobre la experiencia de otros con esto?
Algunas preguntas de ejemplo: ¿Tiene algún consejo sobre cómo buscar freelancers con conocimientos de seguridad? (¿Hay una prueba previa estándar para seleccionar a los freelancers candidatos?) Para la revisión de seguridad, ¿es más efectivo solicitar una revisión abierta o es más efectivo para crear muchas tareas más pequeñas con un alcance limitado (por ejemplo, revise este código base)? para vulnerabilidades de inyección SQL)? En cuanto a los precios, ¿existen tarifas estándar o rangos de pago? ¿Es más efectivo cobrar un precio fijo o son efectivas las bonificaciones (por ejemplo, una bonificación por encontrar una vulnerabilidad)? ¿Es un buen uso del dinero intentar contratar a varias personas para la misma tarea de revisión de código, maximizar las posibilidades de encontrar problemas y / o comparar los resultados e identificar a los profesionales independientes más eficaces?
Un problema que puede tomar fuera de alcance: puede asumir que entiendo los riesgos de compartir dicho código con personas desconocidas y me siento cómodo con eso.