আমার নিয়োগকর্তা যদি আমাকে এটি করার জন্য অনুরোধ করেন তবে আমি কি সুরক্ষিত কোড লিখতে স্বীকার করব? [বন্ধ]

আমার নিয়োগকর্তা আমাকে এমন একটি বৈশিষ্ট্য বাস্তবায়নের জন্য বলেছিলেন যার জন্য একটি ডাটাবেসে স্পষ্ট পাঠ্যে পাসওয়ার্ডগুলি সংরক্ষণ করতে হবে (বা বাইনারিতে সজ্জিত একটি অস্পষ্ট এনক্রিপ্ট / ডিক্রিপ্ট ফাংশন ব্যবহার করা, যা কিছুটা ভাল তবে নিরাপদও)।

আমি জবাব দিয়েছি যে আমি এই জাতীয় বৈশিষ্ট্যটি প্রয়োগ করতে ইচ্ছুক, তবে শর্ত থাকে যে এটি ব্যবহারের সময় গ্রাহকরা সুরক্ষা সম্পর্কিত প্রভাবগুলির বিষয়ে স্বীকৃত হন।

সহকর্মীদের সাথে এই সমস্যাটি নিয়ে আলোচনা করার সময়, কেউ আমাকে বলেছিল যে, সফটওয়্যার ইঞ্জিনিয়ার হিসাবে, আমরা আমাদের পণ্যগুলিতে প্রবর্তন করি এমন সুরক্ষা সমস্যার জন্য আমরা ব্যক্তিগতভাবে (আইনী অর্থে) দায়বদ্ধ। আমি আমার চুক্তিটি খতিয়ে দেখলাম, কিন্তু অনুরূপ মামলার সাথে সম্পর্কিত কিছু পাইনি।

আইনী দৃষ্টিকোণ থেকে, আমি কি এই জাতীয় বৈশিষ্ট্যটি প্রয়োগ করতে অস্বীকার করব? এটি কি সত্য যে কোনও গ্রাহক যদি সুরক্ষা উদ্বেগ সম্পর্কেও অবগত ছিলেন, এমনকি যদি এই বৈশিষ্ট্যের কারণে কোনও গ্রাহক ক্ষতির সম্মুখীন হয় তবে আমার নিয়োগকর্তা আমাকে আদালতে নিয়ে যেতে পারেন?

সম্পাদনা: আমি বুঝতে পারি যে এই প্রশ্নের উত্তর কেবলমাত্র একজন আইনজীবীর কাছ থেকে নির্ভরযোগ্যভাবে দেওয়া যেতে পারে। লাইসেন্স সংক্রান্ত প্রশ্নগুলির ক্ষেত্রেও এটি সত্য: এখানকার লোকেরা কোনও আইনজীবীর সাথে পরামর্শ করার পরেও তাদের বোঝাপড়া এবং অভিজ্ঞতা দেয়, কোনও গ্যারান্টি ছাড়াই এটি অন্য এখতিয়ারে প্রযোজ্য। কিন্তু লাইসেন্সিং এখানে স্পষ্টভাবে একটি বিষয় হিসাবে গ্রহণ করা হয়, দেখুন আমি এখানে কোন ধরণের প্রশ্ন জিজ্ঞাসা করতে পারি? । আমি বিশ্বাস করি অন্যান্য প্রোগ্রামারদেরও একই সমস্যা থাকতে পারে এবং অন্যরাও এই পরিস্থিতিতে এর আগে মুখোমুখি হতে পারে এবং সে জন্য কোনও আইনজীবীর সাথে পরামর্শও করতে পারেন।

আপনার সহকর্মী বিপথগামী, বিশেষত যেহেতু আপনি আপনার চুক্তিতে সুরক্ষার দায়িত্বে কোনও কিছুই খুঁজে পান না। এটি যদি না হয় তবে আপনি কেবল পরিচালনার পক্ষ থেকে একটি বিরোধী আদেশ পেয়েছেন।

আমি মনে করি আপনি কেবল নিজেরাই পণ্যটির ক্ষতি করতে, নিজের টাইম বোমা, ইস্টার ডিম ইত্যাদি তৈরি করতে পারলে আপনি কেবলমাত্র সম্ভাব্য মামলা মোকদ্দমা সাপেক্ষে time

বেশিরভাগ ক্ষেত্রে, সংস্থাটি সফ্টওয়্যারটির মালিক, তাই তারা লাভটি উপভোগ করতে পারে, তবে এর অর্থ হ'ল তারা পৃথক বিকাশকারীকেও নয়, ঝুঁকিগুলিও গ্রহণ করতে পারে।

ব্যক্তিগতভাবে, আমি নিশ্চিত করব যে এই সুরক্ষা বৈশিষ্ট্যটি সম্পর্কিত সমস্যাগুলি সম্পর্কে ম্যানেজমেন্ট সচেতন ছিল, যাতে এটি আগে থেকে নথিভুক্ত করা হয়েছিল, এবং কেবল আমার কাজ চালিয়ে যাওয়া উচিত।

বলা হচ্ছে, ইয়াদ-ইয়াদা-ইয়াদ, একজন আইনজীবীর সাথে পরামর্শ করুন।

যাই ঘটুক না: ইমেল বা অন্য প্রমাণ ছাড়াই কখনও এই জাতীয় কোডটি লেখবেন না যাতে আপনি কেবলমাত্র আপনার নিয়োগকর্তার নির্দেশাবলী অনুসরণ করেছিলেন showing

আইনী দৃষ্টিকোণ থেকে, একজন আইনজীবির সাথে পরামর্শ করুন। আমি এক নই, না এমন কোন এখতিয়ার বা আইন আপনি যার অধীনে বাস করেন সেগুলির কোনও বিষয় আমাদের ব্যাখ্যা করতে পারে না might তবে যে কোনও ক্ষেত্রে একজন আইনজীবীর সাথে পরামর্শ করুন, আপনি কি আপনার ব্যক্তিগত, পেশাদার এবং আর্থিক ভবিষ্যতের সাথে একটি ইন্টারনেট প্রশ্নোত্তর সাইটে বিশ্বাস করবেন?

সাধারণ ব্যবসায়িক পরামর্শটি নিশ্চিত করা হয় যে আপনি লেখাগুলিতে আপনার রিজার্ভেশনগুলি নিচে পেয়েছেন এবং আপনার নিয়োগকর্তার সরাসরি আদেশে লিখিত সুরক্ষার উদ্বেগকে অব্যাহত রাখার জন্য। যদি জিনিসগুলি দক্ষিণে যায় এবং ফ্যানে আঘাত করে তবে আপনার তা পিছনে পড়তে হবে।

এর আশেপাশের অন্য উপায়টি হ'ল প্রয়োজনীয়তার গভীরতর দিকে তাকাতে হবে - আপনি যে সমস্যাটি সমাধান করছেন সেটি নয় আপনি পরিকল্পনাটি ভাগ করেছেন। বিড়ালটিকে ত্বকে নেওয়ার একাধিক উপায় রয়েছে বা পাসওয়ার্ড দেখার প্রয়োজনীয়তাগুলি পরিচালনা করতে পারে।

আমি এটি নিয়ে উদ্বিগ্ন হব না - এটির মতো নয় যে আপনি দূষিতভাবে নিজেকে অনিরাপদ বৈশিষ্ট্যটিতে রাখার এবং এটির পরে নিজেকে শোষণ করার সিদ্ধান্ত নিয়েছেন, বা কেবল অবহেলা করার কারণে এটি এনে দিয়েছেন। সংস্থাটি এটি চায়, কেউ বিকাশের সময় এবং ব্যবহারকারীর প্রত্যাশার মধ্যে বাণিজ্য বন্ধ করার সিদ্ধান্ত নিয়েছে (যথারীতি) এবং তাই আপনার এটি চালিয়ে যাওয়া উচিত। আপনি যদি কোনও প্রত্যাবর্তন সম্পর্কে সত্যিই চিন্তিত হন তবে আপনার বসকে একটি ইমেল প্রেরণ করুন এবং প্রতিক্রিয়াটি রাখুন। কর্মচারী হয়ে গেলে আপনি কভার হয়ে যাবেন।

কখনও কখনও এটি গ্রহণযোগ্য হওয়ার কারণও রয়েছে - উদাহরণস্বরূপ, আমি কিছু খুব মিশন সমালোচনামূলক সমাধান সম্পর্কে জানি যা সাধারণ পাঠ্য পাসওয়ার্ড সংরক্ষণ করে, তবে সিস্টেমটির বাকী অংশ সুরক্ষিত হয় যাতে এটি কোনও সমস্যা না হয়। উদাহরণস্বরূপ এই সিস্টেমটি একটি পৃথক নেটওয়ার্কে রয়েছে। আপনি যদি বাকি গল্পটি না জানেন (বেশিরভাগ সংস্থার একটি সাধারণ পরিস্থিতি) তবে আপনি যুক্তিসঙ্গতভাবে আশা করতে পারেন যে অন্য কেউ এটি বিবেচনা করেছেন। একইভাবে, যদি আপনার বসের সেই ইমেল থাকে তবে আপনি আশা করতে পারেন যে তিনি জানেন যে তিনি কী করছেন।

ঘটনাচক্রে ... এটি কি আমি (গ্রাহক হিসাবে) পণ্য ব্যবহার করতে পারি? যদি তাই হয় .. এটি কী তাই আমি এড়াতে পারি? :)

আমরা কী বুঝতে পারি যে বিকাশকারীরা অসংখ্য বাগ যোগ করেছেন যা লাইভ ক্রিয়াকলাপের সময় গ্রাহকদের ক্ষতি করে সমান দুর্দান্ত সম্পদে। আমরা তাদের উদ্দেশ্যমূলক মনে করি না তবে এটি এখনও আমাদের কিছু কংক্রিট কাজের ফল এবং এখনও চিহ্নিত হয় না the সুতরাং আপনি যে উদাহরণটি দিয়েছেন তা কোনও বিচ্ছিন্ন ঘটনা নয়, যেখানে বিকাশকারীর (বা উচ্চতর আপ) সিদ্ধান্ত ক্লায়েন্টকে প্রভাবিত করে।

আমি যা পরামর্শ দিচ্ছি তা এখানে:

1. প্রথমে, সর্বদাই - এটি সেই সংস্থাটি যা অন্য সংস্থায় সফটওয়্যার সরবরাহ করে। কোনও ব্যক্তিকে সরাসরি ক্রেডিট দেওয়া হয় না (দলের মধ্যে প্রশংসা ছাড়াই এবং সর্বাধিক পেচেকের চেয়ে বেশি) এবং কাজের মালিকানা। সুতরাং যদিও আমাদের সরবরাহের অংশ হিসাবে এটি ভাল জিনিস নয় তবে আপনি এখানে অপরাধী নন - যতক্ষণ সিদ্ধান্ত আপনার হয় না।

2. একজন পেশাদার প্রোগ্রামার হিসাবে - আপনি স্পষ্টভাবে কোডের সীমাবদ্ধতা এবং কীভাবে জড়িত README ফাইল বা ডকুমেন্টেশনের অংশ হিসাবে জিনিসগুলি বজায় রাখবেন তাতে জড়িত বিপদগুলি স্পষ্টভাবে নির্দেশ করবে। যদি প্রয়োজনীয় কাগজপত্র থাকে - প্রস্তাবিত পরীক্ষার রিপোর্ট ইত্যাদির স্পষ্টতই সীমাবদ্ধতার উল্লেখ করা উচিত।

3. সত্য সিদ্ধান্ত গ্রহণকারীকে দায়বদ্ধ রাখার জন্য - আমি এই জাতীয় কোনও নথির ইমেলটিতে তাদের চিন্তাভাবনা নিশ্চিত করার জন্য উচ্চতর ব্যক্তিকে অনুরোধ করব।

4. ঝুঁকিটি সঠিকভাবে ওজন করুন। আমার ডেটা কার্ড সফ্টওয়্যারটি পরিকল্পনার পাঠ্যে পাসওয়ার্ডটি সংরক্ষণ করে তবে এটি গুরুত্বপূর্ণ নয়। তবে যদি আমি ব্যাঙ্কের পাসওয়ার্ড সংরক্ষণ করি বা এটি ডাটাবেস বা সার্ভারে অ্যাক্সেস করে থাকে তবে তা গ্রহণযোগ্য নয়। সুতরাং বাস্তব ঝুঁকির উপর ভিত্তি করে, আপনার সমস্যাটি যথাসম্ভব উচ্চতর করা উচিত।

আপনি যদি ইচ্ছাকৃত ক্ষতিকারক উপায়ে আপনার কাজটি সম্পাদন না করেন তবে আপনাকে জিজ্ঞাসিত কাজগুলি করার সামান্য আইনি ক্ষতি হতে পারে। আপনার কর্মসংস্থানের একটি চুক্তি থাকবে যা আপনার দায়বদ্ধতা বর্ণনা করবে, আপনি প্রযুক্তিগত বিষয়ে কোনও আইনজীবীর সাথে পরামর্শ করতে পারেন। আপনি যদি সত্যিই উদ্ভাসিত বোধ করেন তবে প্লেইন টেক্সট পাসওয়ার্ডের নকশার সিদ্ধান্তের লিখিত অনুমোদনের সন্ধান করুন।

আমি নিশ্চিত না হওয়া পর্যন্ত এটি কোন সফ্টওয়্যারটি প্রকাশ করব না যতক্ষণ না এই বৈশিষ্ট্যটি এটি চূড়ান্ত রিলিজে তৈরি করে। আমি এখনও আশা করি আমরা গ্রাহকদের এমনভাবে জানাতে পরিচালিত করেছি যাতে আমি এটি গ্রহণযোগ্য বলে মনে করি।

'গ্রাহকদের অবহিত করা' সম্পর্কে আপনার উক্তিটি আরও কিছুটা উদ্বেগজনক। আপনি যদি আপনার প্রতিষ্ঠানের অবস্থান, খ্যাতি ইত্যাদির ক্ষতি করেন (এমন একটি ধারা যার বিষয়ে আপনার চুক্তিতে থাকবে) তবে আপনার সংস্থা আপনাকে মামলা করতে পারে - এবং যখন আপনার কোনও রেফারেন্স বা অন্য কোনও কাজের প্রয়োজন হবে তখন 'হুইস্ল ব্লোয়ার' প্রতিরক্ষা আপনাকে সাহায্য করতে পারে না।

আপনি যদি সুরক্ষা গর্তের প্রভাব সম্পর্কে অসন্তুষ্ট হন তবে আপনার জীবনবৃত্তান্ত ব্রাশ করুন এবং এগিয়ে যান, তবে এটি যদি আপনার সিদ্ধান্ত না হয় এবং এটি আপনার সংস্থা না হয় তবে আমি দেখতে পাচ্ছি না কেন এটি আপনাকে 'দোষী' করা হবে (আইনত) ।

আপনার কোম্পানির যখন তারা নিযুক্ত করেছিল তখন আপনার পেশাগত ক্ষতিপূরণ বীমাগুলির একটি ফর্মটি বের করা উচিত ছিল । এই উচিত ক্ষেত্রে তার সমস্ত কর্মচারীদের জন্য পর্যাপ্ত আইনি সুরক্ষা প্রদান কিছু সফটওয়্যার, অথবা সফটওয়্যার বা সংক্রান্ত ত্রুটিগুলি অপব্যবহার সঙ্গে ভুল যাচ্ছে সফ্টওয়্যার (যেমন এনক্রিপ্ট না পাসওয়ার্ড) পাওয়া হচ্ছে।

একজন কর্মচারী হিসাবে আপনাকে তাদের যা করা উচিত তা করার কথা, এবং ক্লায়েন্ট যা চায় তার করার কথা তাদের মনে করা হয়, যতক্ষণ না উভয় পক্ষই আইন ভঙ্গ করছে না, কোনও সমস্যা নেই, তবে আপনি যদি সংস্থাটি যা চান তা করেন এবং তা পরে ক্লায়েন্ট যা চান / যা চান তা তা নয়, তারপরে এটি তাদের মধ্যে এবং পেশাদার ক্ষতিপূরণ বীমা আপনাকে কোনও ব্যক্তিগত দোষ / দায় থেকে fromেকে রাখে।

আইএনএল, তবে আমি এটি আপনার নিজস্ব আইনজীবীদের সাথে চেক করার পাশাপাশি সংস্থাগুলির আইনী দলের সাথেও গ্রহণ করব।

পিএস, আপনি যদি এর দ্বারা গুরুতরভাবে উদ্দীপনা বোধ করেন তবে সমস্ত প্রাসঙ্গিক ইমেলগুলি ইলেকট্রনিক এবং হার্ড কপি যেখানে সম্ভব হলে অফ-সাইটে সংরক্ষণ করুন।

একটি নতুন কাজের জন্য সময়। এটি বাস্তবায়ন করতে ভুলবেন না। সময় নেওয়ার সময়। তারা যদি এ নিয়ে এত অশ্বারোহী এবং প্রতারণামূলক হতে রাজি হয় তবে তারা আপনাকেও বাসের নীচে ফেলে দিতে ভয় পাবে না।

অতিরিক্ত হিসাবে, একবার আপনার বেনামে বহু গ্রুপের মধ্যে একটিতে যোগাযোগ করতে গিয়ে ভয় পাবেন না যা লোক সফ্টওয়্যারগুলির সুরক্ষা গর্তগুলি চিহ্নিত করে। এটি ঘটতে অপেক্ষা করে একটি দুর্যোগ। এগুলি সংরক্ষণ করার কোনও সঠিক কারণ নেই। আপনার বস আপনাকে একটি কারণ দিয়েছে? তারা কি ব্যবহারকারী হিসাবে লগইন করতে চান? তারা কী পাসওয়ার্ড পুনরুদ্ধার করা আরও সহজ করতে চায়? উপরের কোনওটির উত্তর না পেলে আপনি আরও সুরক্ষিতভাবে সম্বোধন করতে পারবেন, তবে এখনই এগিয়ে যাওয়ার সময়। আপনি যখন চলে যাবেন, তাদের কেন তা না জানানো ভাল।

পাসওয়ার্ডগুলি পুনরুদ্ধারযোগ্য ফর্ম্যাটে সংরক্ষণের দিকনির্দেশগুলি অনুসরণ করতে আপনি কী করতে পারেন যখন আপনার যদি প্রোগ্রামটিতে সম্পূর্ণ অ্যাক্সেস থাকে তবে অ্যাসিমেট্রিক এনক্রিপশন ব্যবহার করা থাকলে পুনরুদ্ধার করা অসম্ভব হয়ে পড়ে being

আপনি বাইনারিটিতে সঞ্চিত সর্বজনীন কী সহ (সর্বদা হিসাবে সল্টেড) কীটি এনক্রিপ্ট করেন

এবং যখন সরল-পাঠ্যে পাসওয়ার্ডগুলির প্রয়োজন হয় তখন একটি ব্যক্তিগত কী সরবরাহ করা প্রয়োজন যা অন্যথায় সার্ভার থেকে দূরে সুরক্ষিত থাকে

ব্যক্তিগতভাবে, আমি কোনও সফ্টওয়্যার ইঞ্জিনিয়ারের কথা শুনিনি, চুক্তি বা অন্য আনুষ্ঠানিক চুক্তির কোনও ধারা ছাড়াই, তারা যে পণ্যগুলিতে কাজ করে তাদের সুরক্ষা সমস্যার জন্য আইনত দায়বদ্ধ হয়ে থাকে। সফ্টওয়্যার ইঞ্জিনিয়ারিংয়ের আইন এবং নীতি সম্পর্কে আমি যা পড়েছি তা থেকে, কোনও সিস্টেমের সুরক্ষার প্রয়োজনীয়তা প্রয়োজনীয়তার স্পেসিফিকেশন দ্বারা নির্ধারিত হয়, যা কোনও আইনী, শিল্প বা কর্পোরেট প্রয়োজনীয়তাও বোঝায়। সিস্টেম তৈরি করার সময়, সুরক্ষা প্রয়োজনীয়তাগুলি পূরণে ব্যর্থতা চুক্তির শর্তাদি সম্পূর্ণ করতে ব্যর্থতা হিসাবে বিবেচিত হয় কারণ সিস্টেমটি নির্দিষ্ট হিসাবে নির্মিত হয়নি। নির্দিষ্ট ইভেন্টগুলি কীভাবে উদ্ঘাটিত হয় তা প্রকৌশলী এবং নিয়োগকর্তা এবং নিয়োগকর্তা এবং গ্রাহকের মধ্যে চুক্তির উপর নির্ভর করে।

আইনগুলি আপনাকে কী করা উচিত তাও জানায় না, তবে আপনি কী করতে পারবেন / করতে পারবেন না। আপনি কোন শিল্পে রয়েছেন তা উল্লেখ করেন না তবে নির্দিষ্ট কিছু উপাত্ত কীভাবে হ্যান্ডেল করা যায় সে সম্পর্কে কারওর কাছে আইন, বিধিবিধি এবং নিয়ম রয়েছে - কী এনক্রিপ্ট করতে হবে, নূন্যতম স্তরের এনক্রিপশন থাকতে হবে, পরিচালনা / নিয়ন্ত্রণের অ্যাক্সেসের প্রয়োজনীয়তা, এবং তাই এগিয়ে। যদি আপনার অঞ্চলে (দেশ, রাষ্ট্র) সুরক্ষা সম্পর্কে কোনও নিয়ম না থাকে, তবে আপনার শিল্পের সুরক্ষা সম্পর্কে কোনও বিধি নেই এবং সফ্টওয়্যার সংক্রান্ত প্রয়োজনীয়তাগুলি সুরক্ষা প্রয়োজনীয়তা বা মানকে কল করে না, এটি একটি নৈতিকতার চেয়ে আরও বেশি সমস্যা হতে পারে আইনি সমস্যা.

সফ্টওয়্যার বিকাশের ক্ষেত্রে যখন নৈতিক সমস্যাগুলি আসে তখন আমি নীতিমালা এবং পেশাদার অনুশীলনের সফটওয়্যার ইঞ্জিনিয়ারিং কোডটি সাবস্ক্রাইব করি । শেষ পর্যন্ত, এটি আপনার কল। তবে আমি অনুভব করি যে প্লেইন টেক্সট বা ডিক্রিপ্ট করা যায় এমন বিন্যাসে পাসওয়ার্ডগুলি অনৈতিক ical

আপনার প্রকল্পের বিকাশ প্রক্রিয়াটির সাথে সামঞ্জস্য করুন: প্রয়োজনীয় বৈশিষ্ট্য নথিতে যদি এই বৈশিষ্ট্যটি লেখা হয় তবে আপনি এটিকে বাস্তবায়ন করবেন।