حماية عملك خلال مشاريع الترميز المخصصة

في 19 يوليو 2019 ، أقر مبرم العقود ديفيد تينلي بأنه مذنب في التهم الموجهة إليه بإتلاف أجهزة الكمبيوتر التابعة لشركة سيمنز. وفقا لملفات في القضية ، زرع تينلي قنابل منطقية في الرمز الذي كان يطوره لشركة سيمنز في موقعها في مونروفيل ، بنسلفانيا. هذه القنابل المنطقية ، التي كانت أجزاء من الكود تم توقيتها لإحداث خلل بعد أسابيع أو أشهر من الانتهاء من المشروع ، كانت تهدف إلى ضمان حصول Tinsley على دفق مستمر من العائدات من الاضطرار إلى حل المشكلات التي كان يُفترض أنها أخطاء. عندما تم استدعائه لإصلاح مشكلة ما ، قام Tinsley ببساطة بتغيير التاريخ على القنبلة المنطقية بحيث تنفجر مرة أخرى لاحقًا.

في النهاية ، تم استدعاء مبرمج آخر لإصلاح كود Tinsley بينما كان في إجازة ، وعندها تم اكتشاف المؤامرة. كان تينسلي ، البالغ من العمر 62 عامًا ، يعمل لدى شركة سيمنز لمدة 12 عامًا تقريبًا قبل القبض عليه ، لكن خلال ذلك الوقت ، لم يكن أبدًا موضع أي شك. من المقرر الحكم في 8 نوفمبر 2019 ، ويمكن أن تنفق Tinsley ما يصل إلى 10 سنوات في السجن ودفع غرامات تصل إلى 250،000 دولار.

توظيف المبرمجين النسخ الاحتياطي

فلماذا أخبركم بكل هذا؟ بعد كل شيء ، فإن فرص توظيف مبرمج يضع القنابل المنطقية عمدا في الشفرة المخصصة الخاصة بك ليست كبيرة. وعلى الرغم من أن هذه الفرص ليست صفرية ، فهناك أي عدد من الأشياء الأخرى التي يمكن أن تحدث خطأ عندما يكتب شخص ما رمزًا لمؤسستك.

"ماذا يحدث إذا كان هذا الشخص يترك أو يسقط ميتا؟" يسأل جاك جولد ، المحلل الرئيسي في J. Gold Associates. يشير الذهب إلى أنه عندما تقوم بتوظيف شخص ما للقيام بالتنمية ، فإنك تحتاج دائمًا إلى نسخة احتياطية. بعد كل شيء ، رمز مخصص هو رمز الخاص بك. لا يوجد طرف ثالث يمكنك الرجوع إليه إذا حدث خطأ ما ، إلا إذا كنت تخطط لذلك. كما اقترح أن هناك بعض الخطوات الأخرى التي يتعين على الشركات القيام بها لحماية نفسها أثناء عملية التطوير ، وأهمها مراجعة الكود المطلوبة.

وقال آلان زيتشيك ، المحلل الرئيسي في كامدن أسوشيتس: "مراجعة الكود ربما تكون أفضل طريقة لمعرفة ما هو موجود في الكود الخاص بك ، بما في ذلك أشياء مثل القنابل المنطقية ، أو الثغرات الأمنية ، أو الأخطاء الغبية".

"هناك أسباب أخرى للقيام بمراجعات الكود" ، أضاف زيتشيك. "إنه يساعد فريق التطوير لديك على فهم أفضل لكيفية عمل التطوير ، ويساعد المبرمجين المبتدئين على فهم أفضل. مراجعات الكود هي أيضًا مفيدة لمساعدة مدير الفريق في التعرف على جودة فريق التطوير والحصول على تقدير للوقت الذي تستغرقه عملية التطوير سوف يستغرق لإنهاء المهمة.

إجراء مراجعات الكود

وقال Zeichick أن هناك عدة طرق لإجراء مراجعات الكود. "يمكنك إنشاء فريق يعمل فيه شخصان أو يمكنك الاجتماع في قاعة مؤتمرات لمراجعة الرمز."

تزداد شعبية الفرق التي يستعرض فيها كل عضو رمز شخص آخر ، حيث يصعب العثور على المبرمجين. ولكن في المنظمات الكبرى ، لا تزال الاجتماعات الدورية لمراجعة الكود مفيدة لأن العديد من مجموعات العيون تساعد في عملية المراجعة. وقال Zeichick أنه حتى معظم المبرمجين الكبار يجب مراجعة الكود الخاص بهم.

لذا ، لماذا سمحت شركة سيمنز لشركة تينلي بالرحيل طوال تلك السنوات دون مراجعة الكود؟ ووفقًا لتعليقات المحامي أثناء المحاكمة ، اعتبر تينلي أن الكود الخاص به مملوك له وأنه استخدم كذريعة لعدم مراجعة الكود.

السبب وراء السماح بحدوث ذلك غير واضح ، لكن كلا من Zeichick و Gold يشيران إلى أن متطلبات مراجعة الكود يجب أن تكون جزءًا من أي عقد مبرم بين شركة وبين جماعة برمجة مستقلة. يشير الذهب إلى أن العقد لا يذكر مراجعات الكود فحسب ، بل يحدد كيف ومتى يتم ذلك.

أشار Zeichick إلى أن بعض متاجر التطوير الكبيرة قد تقوم بمراجعات الكود الخاصة بهم ، والتي قال إنها منطقية. وقال "إن أفضل الأشخاص الذين يقومون بمراجعة الكود هم الأشخاص في فريق التطوير".

تجنب المبرمجين الخبيثة

وقد تم استعراض رمز حول إلى الأبد تقريبا. عندما كنت أدير فريقًا من المبرمجين لمرفق حكومي كبير ، كان علينا أن نتخطى خطوط COBOL الذهنية كل يوم جمعة. على الرغم من أنها كانت مملة ، فقد وجدنا في كثير من الأحيان إشارات أو أخطاء أو مراجع في غير محله أو أخطاء ترميز أخرى. الحقيقة هي أننا جميعًا نرتكب أخطاء ، والمراجعة المعقولة تجعل الكود أفضل للجميع.

لسوء الحظ ، يبرمج المبرمجون أحيانًا مراجعات الكود ، معتقدين أنهم مضيعة للوقت. يقول آخرون أنهم لا يريدون أن يفكر الناس في كودهم. لكن الحقيقة ، أن رفض السماح بإعادة النظر في الكود يجب أن يكون علامة حمراء. إذا كنت تدفع مقابل كتابة الكود ، فيمكن أن يتضمن عقدك شرطًا للمراجعات. رفض القيام بذلك هو سبب للفصل.

لسوء الحظ ، من الصعب العثور على مبرمجين جيدين هذه الأيام. الطلب مرتفع ، وفي بعض الحالات ، يشعر مبرمجو العقود بأن بإمكانهم تحديد أنه لا يتعين عليهم التقيد بمراجعة الكود الخاص بهم ، حتى إذا كانت جهة الاتصال الخاصة بهم تشير إلى أنه سيكون كذلك.

أفضل طريقة لتجنب مثل هذه المشكلات ، أولاً ، طلب ثم استدعاء مراجع للعمل السابق. ثانياً ، فرض مراجعات الكود من اليوم الأول. وبهذه الطريقة ، تصبح هذه العادة ، ويمكن رفض المبرمجين الذين يرفضون إجراء مراجعات فورًا - قبل أن يصبحوا مهمين لعملية التطوير.

• ماذا تفعل عندما كنت قد اخترق ماذا تفعل عندما كنت قد اخترق
• 6 أشياء لا تفعلها بعد خرق البيانات 6 أشياء لا تفعلها بعد خرق البيانات
• فلوريدا سيتي لدفع 600000 دولار للقراصنة بعد هجوم Ransomware فلوريدا سيتي لدفع 600000 دولار للقراصنة بعد هجوم Ransomware

لسوء الحظ ، يمكن أن تكون المخاطر في عملية التطوير كبيرة. يشير Gold إلى أنه يمكن للمبرمج غير الأخلاقي إدراج الأبواب الخلفية في التعليمات البرمجية الخاصة بك ، وإيجاد طرق لسرقة بيانات العميل أو الملكية الفكرية ، أو تمرير البيانات الهامة إلى شركة أخرى أو إلى قوة أجنبية.

تتمثل طريقة منع ذلك في الإدارة المستمرة ، ومراجعة منتج العمل الخاص بموظفي البرمجة ، ومراجعة الكود قبل قبوله من قبل نظام إدارة الشفرة الخاص بك.