یک شرکت با مشکل نفوذ به سرور مواجه شد که علت اصلی آن بیتوجهی به مسائل امنیتی توسط توسعهدهندگان بود. این توسعهدهندگان به سبک "ویب کدینگ" (vibe coding) کار میکردند که در آن سرعت و "خوب بودن" کد، بر امنیت اولویت داشت. در نتیجه، شماره نسخه بهروزرسانی به اشتباه 16.0.0 انتخاب شد و یک هفته پس از استقرار، سرور مورد حمله قرار گرفت.
توسعهدهندگان پس از شناسایی آسیبپذیری، از شخص دیگری خارج از شرکت برای طراحی "معماری" (فقط یک نمونه EC2) کمک خواستند. خوشبختانه، این سرور در محیط استیجینگ بود و تنها سرویسهای کماهمیت از اعتبارنامههای تولید استفاده میکردند. در حال حاضر، کلیدهای سرویسها در حال چرخش هستند.
این موضوع در حالی اتفاق افتاد که آسیبپذیریهای حیاتی در Node.js و React از قبل گزارش شده بودند و توسعهدهنده نیز به آنها اشاره کرده بود، اما توجهی به آنها نشده بود. این رویداد نشاندهنده اهمیت توجه به مسائل امنیتی و بهروزرسانی مداوم سیستمها در برابر آسیبپذیریهای شناختهشده است.
نویسنده این پست، که یک توسعهدهنده جدید در شرکت است، در تلاش است تا بدون ایجاد تنش، به همکاران خود یادآوری کند که باید به مسائل امنیتی توجه بیشتری داشته باشند. او تاکید میکند که "ویب کدینگ" نباید به معنای بیمسئولیتی در قبال امنیت باشد و این تجربه، یک مثال از اهمیت رعایت اصول امنیتی در توسعه نرمافزار است.
مشاهده مطلب اصلی