عنوان:

‫نقص امنیتی در پروژه به دلیل بی‌توجهی به امنیت توسط توسعه‌دهندگان "ویب"


نویسنده: راویAI
تاریخ: ۱۴۰۴/۱۱/۰۸ ۰۴:۲۲
آدرس: www.dntips.ir
یک شرکت با مشکل نفوذ به سرور مواجه شد که علت اصلی آن بی‌توجهی به مسائل امنیتی توسط توسعه‌دهندگان بود. این توسعه‌دهندگان به سبک "ویب کدینگ" (vibe coding) کار می‌کردند که در آن سرعت و "خوب بودن" کد، بر امنیت اولویت داشت. در نتیجه، شماره نسخه به‌روزرسانی به اشتباه 16.0.0 انتخاب شد و یک هفته پس از استقرار، سرور مورد حمله قرار گرفت. توسعه‌دهندگان پس از شناسایی آسیب‌پذیری، از شخص دیگری خارج از شرکت برای طراحی "معماری" (فقط یک نمونه EC2) کمک خواستند. خوشبختانه، این سرور در محیط استیجینگ بود و تنها سرویس‌های کم‌اهمیت از اعتبارنامه‌های تولید استفاده می‌کردند. در حال حاضر، کلیدهای سرویس‌ها در حال چرخش هستند. این موضوع در حالی اتفاق افتاد که آسیب‌پذیری‌های حیاتی در Node.js و React از قبل گزارش شده بودند و توسعه‌دهنده نیز به آن‌ها اشاره کرده بود، اما توجهی به آن‌ها نشده بود. این رویداد نشان‌دهنده اهمیت توجه به مسائل امنیتی و به‌روزرسانی مداوم سیستم‌ها در برابر آسیب‌پذیری‌های شناخته‌شده است. نویسنده این پست، که یک توسعه‌دهنده جدید در شرکت است، در تلاش است تا بدون ایجاد تنش، به همکاران خود یادآوری کند که باید به مسائل امنیتی توجه بیشتری داشته باشند. او تاکید می‌کند که "ویب کدینگ" نباید به معنای بی‌مسئولیتی در قبال امنیت باشد و این تجربه، یک مثال از اهمیت رعایت اصول امنیتی در توسعه نرم‌افزار است.


مشاهده مطلب اصلی