Персональная страница Арбатского Е.В.

Сегодня узнал что в одном из сайтов, сделанных мною 8-9 лет назад, нашли уязвимость (SQL-инъекция). В этой новости были и плюсы и минусы. Плюсы:

• Уязвимость находится в одном из модулей, задание на разработку которых я давал стороннему разработчику;
• Сайт уже давно "законсервирован" Заказчиком - не сопровождается, не обновляется.

Минусы:

• Уязвимость все же есть;
• В те года отсутствовал контроль за исполнением работ (теперь эта процедура есть) сторонними разработчиками.

Выводы (в очередной раз подтвержденные практикой):

• Требуется наличие стандартов кодирования (и это уже давно есть), соблюдение которых надо требовать с разработчиков (вот это не всегда соблюдается);
  
• Всегда контролировать исполнение работ, либо выделять специального человека для контроля качества (у нас в отделе разработки для этого есть специальный сотрудник);
• Безопасность всего приложения зависит от всех модулей, а не только основных (следует проводить комплексную проверку на безопасность);
• Старые проекты надо не оставлять на общий доступ, а убирать.

Сейчас в рамках производственной практики студентов ЗИ я пытаюсь отработать методику тестирования безопасности приложений и анализа кода силами студентов. Надеюсь, через год-два уже весь процесс будет отработан.

P.S. Другой проект (7-8 летний) уже переживает 3-4 волну серьезных информационных атак :)