作者LeonH (Leon)
看板Soft_Job
標題Re: [心得] 花了很多時間重構卻被打槍用舊code
時間Fri Oct 3 20:59:28 2025
我來響應一下,要怎麼說服工程團隊領導重構
拿安全性壓他,資安這東西,大家都懂,但大家也都不專業
舊架構要嘛運行的環境有已知漏洞、要嘛依賴套件有已知漏洞
去 CVEdetails.com 查一下,整理一下已知漏洞高危清單
用魔法對付魔法,「不改的話有問題你要負責嗎?」
保證沒人敢挺身說我負責,就這樣,改善軟體供應鏈的同時,順便重構。
如果有人敢挺身而出,那恭喜,以後背鍋俠就是他了。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.214.0.71 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1759496370.A.FEC.html
1F:→ kissmickey: 重構完 經得黑白箱還是其他資安手段嗎 別人也是可以這 10/03 21:55
2F:→ kissmickey: 樣玩 10/03 21:55
3F:→ infinitlee: 重構跟資安沒有一定相關。重構之後還是會有cve問題 10/03 21:57
4F:→ infinitlee: 如果你講的是黑白箱,還比較站的住腳 10/03 21:59
5F:→ nh60211as: 改的話有問題你要負責嗎 10/03 22:13
6F:→ DrTech: 這是挖洞給自己跳吧。到時候有安全問題變成修改的哪個人。 10/03 22:13
7F:→ DrTech: 未來有任何CVE變成你要修。 10/03 22:13
8F:→ rotalume: 這個不用等重構完,換Business問你feature壞了你扛嗎 10/03 22:37
9F:→ brucetu: 改了 有問題你負責 結果你只是基層 負不了責 還不是老大 10/03 23:19
10F:→ brucetu: 說了算 天真 10/03 23:19
11F:噓 pttano: 修補漏洞ㄧ定要重構?你工作了沒大學生 10/04 07:25
12F:推 s78513221: 台灣的資安是拿來檢查的 10/04 08:39
13F:推 lonelytea: 會發這篇的感覺雷包 10/04 09:54
14F:推 ILoveAMD: 資安跟重構的關係是? 10/04 11:58
15F:推 abc0922001: 真是屁話,如果改了出問題,剛好麻煩你負責囉 10/04 18:46
16F:→ dildoe: 對啊高裝檢資安 連主管機關一看都有自己違反自己下規定 10/05 07:56
17F:→ dildoe: 呵呵 如果客戶 外部沒反應問題一般都當作沒事 而且還要確 10/05 07:56
18F:→ dildoe: 定要修改部分有資安問題當重構理由 10/05 07:56
19F:→ dildoe: 一堆都iso出來的跟你在paper work 實際上怎樣 就跟台灣的 10/05 07:57
20F:→ dildoe: iso一樣 10/05 07:57
21F:→ brucetu: 樓上說得好 我還被資安要求過變數名稱不可以叫password 10/05 11:27
22F:推 gino0717: 不然你變數取叫 colin 意思是 口令 10/05 16:11
23F:推 NDark: 命名這件事還確實有道理 10/05 16:23
24F:→ NDark: 在可以反組譯的包體 解開之後先找的就是那些關鍵字 10/05 16:23
25F:→ NDark: 譬如說把編碼的key直接寫在程式碼裡面 10/05 16:24
26F:推 viper9709: 變數名叫colin XDDD 10/05 16:32
27F:→ atst2: 命名這件事以前有道理,現在沒有。程式碼混淆技術都出來多 10/05 16:47
28F:→ atst2: 久了。 10/05 16:47
29F:→ brucetu: 我覺得假設原始碼一定會被偷 而且一定可以被攻擊者理解 10/05 18:30
30F:→ brucetu: 在這個前提下開發系統再去考慮資安問題才是有道理 畢竟 10/05 18:30
31F:→ brucetu: 你防不了離職員工 10/05 18:30
32F:推 tsaigi: 這句一出來 以後出問題就是你負責 10/05 20:19
33F:噓 darkMood: 改的話有問題你要負責? 你又憑什麼負責? 講笑話大隊? 10/06 04:08
34F:推 EricTao: 從負責的角度來看 主管會拒絕重構就是因為他覺得你不夠 10/06 12:43
35F:→ EricTao: 格負責 不是什麼組織都能推基層出來全坦的 10/06 12:43
36F:→ viper9709: 推樓上 10/06 16:16
37F:→ MonyemLi: 人生不能重來,上面的烏紗帽也很難。你能負責喊的很大 10/07 19:12
38F:→ MonyemLi: 聲,但你真能負責嗎?這不是殺掉小角色可以解決的問題 10/07 19:12
39F:→ MonyemLi: 。你會覺的過於悲觀,但第一句 10/07 19:12
40F:→ ssccg: 套件庫升級跟重構兩回事 10/08 13:43
41F:→ ssccg: 現在有AI讀code,命名和混淆技術都是過去式 10/08 13:44