Re: [心得] 花了很多時間重構卻被打槍用舊code
看板: Soft_Job
作者: LeonH (Leon)
標題: Re: [心得] 花了很多時間重構卻被打槍用舊code
時間: Fri Oct 3 20:59:28 2025
我來響應一下,要怎麼說服工程團隊領導重構
拿安全性壓他,資安這東西,大家都懂,但大家也都不專業
舊架構要嘛運行的環境有已知漏洞、要嘛依賴套件有已知漏洞
去 CVEdetails.com 查一下,整理一下已知漏洞高危清單
用魔法對付魔法,「不改的話有問題你要負責嗎?」
保證沒人敢挺身說我負責,就這樣,改善軟體供應鏈的同時,順便重構。
如果有人敢挺身而出,那恭喜,以後背鍋俠就是他了。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.214.0.71 (臺灣) ※ 文章網址 ※
→
kissmickey :
重構完
經得黑白箱還是其他資安手段嗎
別人也是可以這
10/03 21:55
→
kissmickey :
樣玩
10/03 21:55
→
infinitlee :
重構跟資安沒有一定相關。重構之後還是會有cve問題
10/03 21:57
→
infinitlee :
如果你講的是黑白箱,還比較站的住腳
10/03 21:59
→
nh60211as :
改的話有問題你要負責嗎
10/03 22:13
→
DrTech :
這是挖洞給自己跳吧。到時候有安全問題變成修改的哪個人。
10/03 22:13
→
DrTech :
未來有任何CVE變成你要修。
10/03 22:13
→
rotalume :
這個不用等重構完,換Business問你feature壞了你扛嗎
10/03 22:37
→
brucetu :
改了
有問題你負責
結果你只是基層
負不了責
還不是老大
10/03 23:19
→
brucetu :
說了算
天真
10/03 23:19
噓
pttano :
修補漏洞ㄧ定要重構?你工作了沒大學生
10/04 07:25
推
s78513221 :
台灣的資安是拿來檢查的
10/04 08:39
推
lonelytea :
會發這篇的感覺雷包
10/04 09:54
推
ILoveAMD :
資安跟重構的關係是?
10/04 11:58
推
abc0922001 :
真是屁話,如果改了出問題,剛好麻煩你負責囉
10/04 18:46
→
dildoe :
對啊高裝檢資安
連主管機關一看都有自己違反自己下規定
10/05 07:56
→
dildoe :
呵呵
如果客戶
外部沒反應問題一般都當作沒事
而且還要確
10/05 07:56
→
dildoe :
定要修改部分有資安問題當重構理由
10/05 07:56
→
dildoe :
一堆都iso出來的跟你在paper
work
實際上怎樣
就跟台灣的
10/05 07:57
→
dildoe :
iso一樣
10/05 07:57
→
brucetu :
樓上說得好
我還被資安要求過變數名稱不可以叫password
10/05 11:27
推
gino0717 :
不然你變數取叫
colin
意思是
口令
10/05 16:11
推
NDark :
命名這件事還確實有道理
10/05 16:23
→
NDark :
在可以反組譯的包體
解開之後先找的就是那些關鍵字
10/05 16:23
→
NDark :
譬如說把編碼的key直接寫在程式碼裡面
10/05 16:24
推
viper9709 :
變數名叫colin
XDDD
10/05 16:32
→
atst2 :
命名這件事以前有道理,現在沒有。程式碼混淆技術都出來多
10/05 16:47
→
atst2 :
久了。
10/05 16:47
→
brucetu :
我覺得假設原始碼一定會被偷
而且一定可以被攻擊者理解
10/05 18:30
→
brucetu :
在這個前提下開發系統再去考慮資安問題才是有道理
畢竟
10/05 18:30
→
brucetu :
你防不了離職員工
10/05 18:30
推
tsaigi :
這句一出來
以後出問題就是你負責
10/05 20:19
噓
darkMood :
改的話有問題你要負責?
你又憑什麼負責?
講笑話大隊?
10/06 04:08
推
EricTao :
從負責的角度來看
主管會拒絕重構就是因為他覺得你不夠
10/06 12:43
→
EricTao :
格負責
不是什麼組織都能推基層出來全坦的
10/06 12:43
→
viper9709 :
推樓上
10/06 16:16
→
MonyemLi :
人生不能重來,上面的烏紗帽也很難。你能負責喊的很大
10/07 19:12
→
MonyemLi :
聲,但你真能負責嗎?這不是殺掉小角色可以解決的問題
10/07 19:12
→
MonyemLi :
。你會覺的過於悲觀,但第一句
10/07 19:12
→
ssccg :
套件庫升級跟重構兩回事
10/08 13:43
→
ssccg :
現在有AI讀code,命名和混淆技術都是過去式
10/08 13:44