Um dos membros da minha equipe cometeu código vulnerável de injeção de SQL; devo denunciá-lo ao gerente? [fechadas]

4

Um dos membros da minha equipe cometeu um grande erro; uma vulnerabilidade clara de injeção de SQL. Obviamente não passou na minha revisão e deixei bem claro que isso é inaceitável. Eu nunca vi este programador cometer este erro antes e eu não estou ciente de quaisquer outras falhas de segurança cometidas por este programador em particular. O problema é fixo e minha explicação é entendida.

Minhas considerações:

  1. O programador agora está ciente desse erro e provavelmente não fará isso novamente.
  2. O problema, no entanto, era enorme e poderia ter tido grandes conseqüências quando levado à produção.
  3. Não é um programador júnior (> 5 anos de experiência).

Devo dizer ao gerente?

    
por Sherlock 20.01.2015 / 15:43
fonte

2 respostas

39

Existem apenas duas boas razões para relatar algo assim para a gerência: é se você acredita que o codificador que fez isso era malicioso e tentava roubar alguma coisa, ou se você acredita que o codificador que fez isso é incompetente, o que pode ser tão prejudicial quanto um codificador malicioso.

Do jeito que você o descreve, parece que você acredita que ele é apenas um programador que cometeu um erro. Aposto que você fez isso uma vez ou duas, mesmo como um desenvolvedor experiente. Ele foi pego em revisão antes de chegar à produção, e você conversou com o cara e o alertou sobre o assunto.

Pessoalmente, neste momento, eu arquivaria todo o incidente sob "nenhum dano feito, lição aprendida" e deixe-o ir. Mas fique de olho nos commits desse cara por um tempo, só para ter certeza, e se você vir um padrão emerge, então vai para o gerenciamento. Mas no momento, não há razão para ir errando potencialmente a carreira de alguém com um erro.

    
por 20.01.2015 / 15:48
fonte
35

Esse é o ponto principal da revisão de código.

Erro é escrito. O erro é encontrado e corrigido na revisão de código.

Você quer falar com seu membro da equipe sênior? Este membro da equipe de acordo com você nunca cometeu um erro semelhante antes.

A menos que o código tenha sido intencionalmente escrito dessa maneira (e você pode provar isso), essa é uma idéia realmente idiota de se passar para o gerenciamento.

    
por 20.01.2015 / 15:48
fonte