Essa violação de dados me lembra de algo que vivi na minha empresa anterior. Vi senhas de funcionários sendo comprometidas, o que levou hackers a explorar os ativos de dados e o código da empresa para fins maliciosos. Essa foi uma grande notícia em 2017; você pode pesquisar. Ser demitido nessa situação era uma infração menor; algumas pessoas até foram presas.
Mais tarde, fui transferido para a equipe de segurança para lidar com essa vulnerabilidade. Para resolver problemas semelhantes, desenvolvemos um programa em Python. Configuramos manualmente algumas palavras-chave relacionadas à empresa e pesquisamos APIs em sites como o GitHub diariamente. Se alguma informação relacionada à empresa fosse encontrada, enviávamos imediatamente um alerta por e-mail e a revisávamos manualmente. Você ficaria surpreso em saber que, com uma estratégia tão simples, ainda descobrimos vazamentos quase a cada dois meses.
Isso não requer nenhuma alta tecnologia. Qualquer empresa de médio ou grande porte deveria ter um sistema como esse para se proteger. A CSDN, como plataforma, deveria ter um mecanismo de detecção para lembrar os autores. O GitHub já está fazendo alguns esforços.
Acho que muitos desenvolvedores têm uma consciência de segurança muito baixa. Eles não entendem o que deve ser mantido em sigilo, não entendem a diferença entre chaves privadas e públicas e nem sabem usar bem o Git. Depois de descobrir a senha, eles enviam um commit para excluí-la. WTF... 4/n
Já escrevi um artigo antercatcoding.me/p/avoid-mistak…alando sobre Erros no Trabalho](https://t.co/2TccYUbe0B), mas não é abrangente o suficiente. Segurança é um tema vasto, então aqui estão alguns estudos de caso para referência. Mantenha uma atitude respeitosa em relação ao seu trabalho, especialmente quando seu código e seu trabalho afetam muitos usuários. Mesmo um pequeno erro pode causar danos significativos.
Treinamentos de segurança também são essenciais, tanto no momento da admissão quanto periodicamente depois. Mesmo princípios simples de segurança precisam ser constantemente incutidos nos funcionários. Para uma empresa, a tábua mais curta do barril é aquela contra a qual se deve se proteger. Quando o quadro de funcionários da empresa atinge um determinado nível, não há como saber qual é o limite mínimo de funcionários.
Continuarei escrevendo sobre o que me vier à mente. Observe que não mencionei o nome da empresa. Essa questão de segurança é uma falha enorme. Os produtos da empresa são vendidos principalmente nos EUA, graças à cadeia de suprimentos bem estabelecida de Shenzhen e à sua expertise tecnológica anterior. Os americanos não são tão bons em fabricar produtos semelhantes. Portanto, esse vazamento de dados tem sido constantemente questionado e, com a guerra comercial entre EUA e China, a China também está exigindo que os dados não sejam armazenados em servidores americanos. 6/n
Durante esses dois ou três anos, como departamento de internet de uma empresa de hardware, passamos a maior parte do tempo resolvendo, corrigindo e corrigindo falhas. Reduzimos gradualmente o uso da Amazon e migramos o máximo possível para o Alibaba Cloud, usando também os servidores do Alibaba no exterior. Até nos preparamos para o pior cenário: se todos os servidores nos EUA fossem desligados, já havíamos implantado um conjunto de servidores nos nós do Alibaba Cloud na Europa.
Sempre houve rumores de que nossa empresa estava na lista negra dos EUA, mas ela só foi oficialmente adicionada muito tempo depois, quando fomos efetivamente incluídos na lista. Então, durante esse período, a empresa entrou em pânico, passando por rodadas de retificação e autoavaliação.
Embora estivesse exausto, a guerra comercial da época me deu alguma motivação para trabalhar, pois senti como se estivesse vivenciando um raro momento histórico. Aliás, se eu me lembrar da guerra comercial daqui a alguns anos, certamente me lembrarei da sensação de arrastar meu corpo exausto para casa e me deitar.
Agora, vamos falar sobre segurança. Como o negócio principal da nossa empresa é hardware, naturalmente precisávamos adquirir proteção e ferramentas de segurança de rede, um processo no qual investi um tempo considerável. Eu era responsável por avaliar produtos e colaborar com os fornecedores terceirizados para implementá-los na empresa. Ao longo desse processo, percebi o quão mesquinhos esses fornecedores de segurança, como um poderoso fornecedor próprio, podem ser. É claro que, da perspectiva da empresa, essa mesquinharia é necessária; também precisamos reduzir custos.
O que eu particularmente detesto é a prática de se aproveitar da reputação da própria empresa. Muitos fabricantes esperam capitalizar essa vantagem, suprimindo significativamente os fabricantes terceirizados. Os períodos de teste de produtos são repetidamente estendidos, às vezes até por quase um ano e meio, sem sequer passar pelo processo de compra. Quando os testes realmente não estão mais disponíveis, o processo de compra precisa ser iniciado, com três ou quatro empresas para escolher. É compreensível que algumas estejam destinadas a ser bucha de canhão.
Tomemos como exemplo a digitalização de código. Esta ferramenta é oferecida por diversos fabricantes, tanto nacionais quanto internacionais. Os estrangeiros foram naturalmente descartados, mas os nacionais foram desenvolvidos tanto por grandes empresas quanto por startups. Experimentei dois produtos de ambas as empresas por pelo menos um ano e, quando fiquei com vergonha de enviar um e-mail para estender o período de teste, finalmente decidi comprá-los. Depois de uma longa negociação e algumas negociações por outros canais, o preço final foi tão baixo que eu não conseguia acreditar. 12/n
Vamos colocar desta forma: o preço deste conjunto de ferramentas de segurança equivale aproximadamente ao salário mensal de um engenheiro de desenvolvimento de segurança de nível médio. Você pode imaginar o quão incrivelmente assustador foi para a Parte B, após uma negociação tão longa e árdua e a enorme quantidade de mão de obra envolvida em nosso teste, finalmente aceitar esse preço. Mas ter um acordo é sempre melhor do que não ter, certo? No final das contas, fechamos o acordo. 13/n
Durante esse processo, meus colegas e eu também vivenciamos um pouco da servidão do mercado terceirizado, parte dela realmente sutil. Por exemplo, ao ver que meu colega gostava de cachorros, uma vendedora o convidou para correr e passear com o cachorro nos fins de semana, e outra vendedora o convidou para um café à noite, e assim por diante. É claro que éramos todos programadores esforçados e tímidos.
Portanto, é compreensível a quantidade de tentações que os funcionários do departamento de compras devem ter enfrentado. Em um ano, várias pessoas do departamento de compras foram presas e presas. Muitas delas recebiam propina de fornecedores, enquanto outras manipulavam a empresa e vendiam produtos abaixo do padrão. Mais tarde, soube que o treinamento de integração do departamento de compras incluía uma visita à prisão.
É difícil para uma empresa levar a segurança a sério se não sofreu perdas no passado. A empresa para a qual eu trabalhava na época era um unicórnio há muitos anos, bem conhecida nacional e internacionalmente. Mas, antes deste grande incidente de segurança, sua gestão de segurança era bastante retrógrada. E esse era o nível que uma empresa que se dizia tecnologicamente inovadora poderia alcançar. Então, imagine o nível de segurança em departamentos governamentais.