我们在上文中给大家简单介绍了关于软件开发的项目外包类型,而对于让非本公司的员工来接触这些项目的话是有一定的风险的,下面我们就一起来了解一下具体情况吧。
1)敏感信息泄露
常见的是调试模式未关闭、源码压缩包放在web根目录、版本控制文件.git/.svn等文件放在根目录,或者外包开发人员将源码上传三方仓库外泄,或者外包人员的个人电脑中毒或被入侵,导致甲方源码、数据泄露。
2)高危漏洞高可能性
外包开发通常使用开源开发框架,这类框架往往漏洞频发,很容易被批量利用,而且也经常出现高危漏洞,常见的如服务端任意文件下载、SQL注入、客户端组件暴漏和敏感信息泄露漏洞等,可以拉取数据库信息或者入侵服务器。
另外,开发商代码架构、质量一般,更容易产生漏洞,或者在对用户可控输入的限制上存在遗漏。
3)敏感信息窃取
之前出现过银行外包开发商违规收集用户信息或者甲方业务数据。
4)埋入后门
外包开发人员故意留逻辑后门等。
5)漏洞分布的广泛性
由于外包团队的代码复用,一旦在某个外包开发的系统出现漏洞,很大可能也能在其开发的其他系统找到相同或类似漏洞。另外,外包开发商一旦被黑,其客户源码、数据也会泄露。
【免责声明】本文系本网编辑部分转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与管理员联系,我们会予以更改或删除相关文章,以保证您的权益!