iT邦幫忙

0

程式設計師是否須具備資安人員的相關知識?

看更多先前的討論...收起先前的討論...
jease iT邦研究生 1 級 ‧ 2008-04-25 15:02:29 檢舉
這是一定要的啊!沒有資安觀念的話,
寫出來的程式一天到晚被侵入、破壞,
也是沒有用的...
davistai iT邦大師 1 級 ‧ 2008-04-25 15:14:01 檢舉
程式有時候全寫在一行,不見得比較有效率ㄛ^^得看狀況而定...
只要遵循 SA 發佈的 security programming principle 就可以了

什麼?SA 沒有發這個?
那就算我沒講過了
babu iT邦新手 3 級 ‧ 2008-04-25 17:23:29 檢舉
據我所知程式寫在一行和寫在很多行是沒差的哦,程式碼讓其它人看得懂是很重要的....
skite iT邦大師 5 級 ‧ 2008-04-25 17:23:32 檢舉
davistai說得也對啦,只是這樣講比較容易理解嘍…
安全的定義在哪裡?
正常程式撰寫, 符合輸入與輸出的功能就可以了.
如果要考慮的, 也是開規格的專案經理或系統分析師要先考慮的.
因為安全是整體的, 況且還要你看你寫的而定勒!
babu iT邦新手 3 級 ‧ 2008-04-25 19:12:21 檢舉
以大的方向來看整體的系統是一定有安全機制的規劃,但是出問題往往是因為某個程式上的小小的bug而造成整體安全的崩潰.

以SQL Injection為例,實際上在還沒有出現這種入侵方式之前,在很多其它的語言教課書就已經強調對於輸入的字串一定要詳加檢查,不要因為特殊的字串造成不正常的程式運作,或是執行碼的植入(不管是有意無意).

在暴發SQL Injection問題之後大部份研究結論是"程式員在coding時偷懶或是沒有正確的安全觀念".

這也是為什麼好的程式員要有安全的關念 - 不管懂多少資安的知識,我要寫的是安全的軟體.

以及安全的習慣 - 知道怎樣會安全就怎樣寫,不要偷懶.

而不是我把程式寫出來能用就好.再說你寫出有人會幫你檢查嗎?

有啦,不是客戶就是駭客...
davistai iT邦大師 1 級 ‧ 2008-05-11 07:46:02 檢舉
不錯,謝謝大家的答案分享^^
70
skite
iT邦大師 5 級 ‧ 2008-04-25 13:50:24
最佳解答

一個程式設計師不一定要有資安知識,但個好的程式設計師就應該要有。

因為除了把程式寫出來之外,安全性、效能和使用者習慣也都是很重要的。

就像是寫一個能達到同樣目的程式,能用20行解決的就盡量不要用到200行;一個好用介面又漂亮的軟體,一定比同樣功能但難操作的受歡迎;同理,如果程式設計師能寫出又穩定又安全的程式,企業就不會使用只能達到目的,但卻漏洞百出的系統。而這些,都是一個好的程式設計師的價值。

55
rogerchien
iT邦新手 1 級 ‧ 2008-04-25 14:15:56

我覺得應該是要具備資安觀念的~
很多程式都是有資安漏洞,所以才會推出更新程式,service pack...
程式的可靠性,方便性,準確性固然是重點,
但資安是防範於未然,有時一發生就會很嚴重,
很多Hacker就是具備資安知識,才會寫一些木馬或釣魚工具.
所以,程式設計師還是要有一些基礎的資安知識.

48
魯大
iT邦高手 1 級 ‧ 2008-04-25 14:18:53

身為一個程式設計師
使用者的肯定就是最大的保證
讓使用者使用上感到方便,又不失程式的便利性
這是需要經驗的累積的
等累積到一定的經驗之後
使用者的回饋,必定讓人感到窩心..

60
pantc328
iT邦研究生 1 級 ‧ 2008-04-25 14:53:45

不懂資安的叫Coder,打字員.
懂資安的才叫Programmer 程設師.
懂整個架構的才叫SA 系統分析師.

44
davistai
iT邦大師 1 級 ‧ 2008-04-25 15:10:34

資安涵蓋層面遍及所有的IT作業,因此具備一些coding方面的資安知識當然是需要的,尤其現在駭客橫行的時代,若您有資安執照,不是會給客戶多一層信任,自己也多一個發展方向嗎??^^

52
richardsuma
iT邦大師 1 級 ‧ 2008-04-25 15:16:58

如果單純就程式設計師, 可以不用具備資安人員的相關知識.
但是未來你不可能一直是程式設計師, 你可能是成為系統分析師,
哪時候, 你還是要具備資安人員的相關知識; 如果你現在有這方
面的知識, 你可以了解系統分析師所考量資安的問題, 可以從中
學習資安的知識.

36
john651216
iT邦研究生 1 級 ‧ 2008-04-25 16:41:40

要有不然寫出來的東西沒有安全性這麼辦

36
海綿寶寶
iT邦大神 1 級 ‧ 2008-04-25 16:53:09

好的程式不外乎「正確」「效能」「安全」三大要素

要確保這三大要素,到底是誰的責任?

PM? QA? SA? 程式設計師? 資安人員?

38
babu
iT邦新手 3 級 ‧ 2008-04-25 17:04:41

當然要了,誰說寫出的程式可以不安全....

寫完程式要做什麼?debug,debug,一直debug,為什麼要debug?就是為了不要讓程式會出錯. 想想有多少危安事件是利用程式的bug造成的???

32
fillano
iT邦超人 1 級 ‧ 2008-04-27 01:48:35

補充一下我的意見:

資安不只是programmer的責任,我想執行的落實也很重要。

有沒有執行單元、整合、系統等測試?有沒有做code review?有沒有檢查code style是否符合公司規定?有沒有針對程式的循環複雜度跟類別的依賴度作基本的檢查?有沒有檢查測試程式的覆蓋率?

這些流程細節的執行,都會影響程式的品質。(通常這些活動總共大約會占用開發的一半時間,尤其是單元測試。)

32
doz
iT邦好手 8 級 ‧ 2008-04-30 23:45:45

我覺得問題其實可以改成「programmer人需要什麼樣的資安知識」

多多少少應該都是需要的吧,例如將資料庫和程式碼放在不同的機器,也是一種資安觀念..

而複雜的可能是還透過架構來切割程式,避免直接暴露內部資訊等..

34
henry312066
iT邦研究生 3 級 ‧ 2008-05-04 14:26:48

我覺得要
除了寫好的程式外
還要會翅我保護跟保護他人的
資料跟機密
因為程式除了好用、人性之外
最重要的是安全
因為現在不論有形及無形的詐欺都很猖獗

28
tgunlu
iT邦研究生 1 級 ‧ 2008-05-07 13:56:23

程式設計師不一定具備資安人員的相關知識
具備資安人員的相關知識的人必能成為良好的程式設計師

28
starry
iT邦新手 3 級 ‧ 2008-05-07 18:00:16

多少懂一點是很重要的, 不然被駭客找到漏洞, 鑽進來, 會發生啥米代誌, 就看機會命運了

28
m1212286
iT邦新手 4 級 ‧ 2008-05-08 09:30:15

資安這個議題好大啊,如何能確保有"足夠"的安全性系統?或是用什麼方式可以"驗證"夠安全性的系統?網路資安跟系統資安層面不一樣吧??

我要發表回答

立即登入回答