这是混世魔王我在10多年前,面试金山网络的时候,真实的问题。
面试官问我,“当你发现程序有一个漏洞,你和程序员沟通,程序员认为这只是一个BUG。根本不算漏洞,你会怎么处理这个问题?”
而10年前那次面试,我的回答是,我会和程序员理论,看谁说服谁。
当然,最后的结果是面试失败了。而这个面试官问的问题就一直埋在我心里。
很多年后,我进入《黑客防线》,我把这个问题问了我当时的老大,他反问了我一句,工作是讲究原则的,不是谁说服谁的问题,难道他说服你,这个漏洞就变成BUG了?
时间流逝,人看待同一个问题看法会提升。特别是学完《人力资源管理师》(一级)以后。
…..
…..
…..
给你一段思考的时间,你会怎么回答这个问题。
…..
…..
…..
你再来看看混世魔王现在对这个问题的看法。
…..
…..
…..
一.确定这个问题的严重性,
我认为是漏洞,程序员也认为是漏洞,说明问题严重,需要修复。
而我认为是漏洞,程序员只认为是BUG,就说明这个问题不一致,有争议,在程序中的影响是不严重的。
二.我会考量这是一个在什么开发进度和环境情况下,需要的程序。需要立马修复,暂不修复,甚至不去修复。
没错,还有甚至不修复的方案。
举2个例子,你就明白了。
1.滴滴打车,最开始起步的时候,程序非常的烂,不稳定,架构也不好。用户各种抱怨。
后来他们团队新加的技术牛,能解决现在遇到问题。但是不停的和CEO程维说要重做程序,重新架构。
这个问题足足说了一年,才考虑重做。这一年,作为公司的CEO,程维考虑的是市场,业务,竞争对手,先让公司活下去。
谁不想有个稳定的系统?公司需要发展的时候,除非非常严重的问题,要不然能用就行。公司活不下,多稳定的程序都没用。
技术牛的视角从技术出发,抱怨公司的程序有乱,有多烂,要重做。而这个时候环境需求,能解决现在遇到问题就行。
2.淘宝客的Cookie Stuffing
BUG和漏洞就是一念之间,漏洞是可以利用,BUG是暂时不可以利用。在我BLOG提到过淘宝客的Cookie Stuffing,其中利用的就是淘宝的一个BUG。
这个很细微的BUG,存在了很多年,在我公布这个刷钱方法之前,淘宝的程序员和安全人员根本不屑一顾这是个问题。
一家稳定的公司,特别是主业务上的程序。是需要修复任何漏洞和BUG的。
三.BUG不修复的方案,就是程序是解决现有的问题,解决以后,就不会更新或使用了。程序员忙,可以,选择BUG不修复的方案。这里就不举例了。
好了。回答完毕。
这就是混世魔王,在读完《人力资源管理师》看待当初那个问题的视角。
一家之言,欢迎点评。
没有评论:
发表评论