鬼故事 - 我不曉得這東西為甚麼會動

source: starecat.com

故事開始

故事主角：小彎

這次的故事又回到 RD 小彎的身上了，
小彎自從上次進公司發現許多程式的漏洞，並且發現程式碼裡面有一些奇怪的現象。
這些現象包括：

• 變數名稱不統一甚至跟功能完全無關
• 無效的變數很多
• coding style 不同，但卻都出自同一人
• 或多或少還有一些奇怪的 BUG/漏洞

小彎發現這個東西都出自同一人手中，便開始觀察這位同事，
觀察之後發現這位同事非常喜歡去 StackOverflow 複製貼上程式碼，
其實小彎自己也常去上面找一些問題的答案。

但小彎發現這個同事也 copy 太多了吧，而且並沒有去了解程式碼的運作，
單純覺得會動就貼上去了，難怪一個人像是精神分裂有三十幾種 coding style。

可怕的是，小彎發現他們單位有一半的 RD 都是這樣寫程式的，
而這些可能還存放著你的資料或是替你守護資料...

資安探討

其實複製程式碼這件事沒有甚麼對錯，
重用別人程式碼減少了開發人員的時間，可以將時間更多專注在重要的功能上，
但如果在複製別人程式碼並沒有注意內容將安全漏洞同時複製了呢?

其實這件事情在 2018 年就有人研究了，論文連結
而這件事還曾經上過 BBC News https://www.bbc.com/news/technology-49960387
有趣的是這些被研究的主體已 C/C++ 為主，或許是因為這類型的語言大家最不會寫也最懶的 code review吧。

作為程式開發人員在複製貼上程式碼之前，請先閱讀程式本身。
就連開源專案編譯的時候也請注意是不是可靠來源，曾經也出現針對研究人員/開發人員所出的攻擊，
趁你編譯程式的時候執行惡意程式，這種操作已經有許多歷史案例，應要多加注意。