Važiuoju iš Panevėžio. Galvoje sukasi didžiausia per 16 metų mūsų komandos klaida, įvykusi prieš porą metų.
Į svetainę įsilaužta
Pirmą kartą per įmonės istoriją į mūsų kliento, kuriam programavome e-parduotuvę, svetainę buvo įsilaužta ir įvykdyta reali vagystė. Žala – per 40 tūkst. eurų.
Noriu dalintis tokia patirtimi. Nes didelės klaidos neša ir dideles pamokas. Bei normalizuoja teisę klysti.
Truputį priešistorės.
Darėme klientui projektą ir kaip dažnai būna IT pasaulyje, terminai šiek tiek vėlavo. Atitinkamai, spaudėme save ir komandą, kad kuo greičiau būtų padarytas darbas. Kai reikalavimų kartelė neatitinka laiko resursų – kažkur pradedama taupyti. Kertami kampai. Pvz., praleidžiama keturių akių procedūra (code review), kurios tikslas patikrinti programinį kodą.
Taip nutiko ir šioje istorijoje. Žmogiška klaida. Skubant buvo praleista pro akis viso labo viena kodo eilutė. Niekas to nepastebėjo. Šešis mėnesius buvo ramu. Klaida pusmetį tūnojo, kol kažkas tą nematomą spragą atrado ir pasinaudojo.
Visi giriasi: mes saugūs. Į mūsų kurtas e-parduotuves nei sykio nebuvo įsilaužta.
Taip darėme ir mes, ir pas mus šešiolika metų buvo ramu. Bet saugumas nėra praeities statistika. Jis turi veikti kasdien.
Mes iš tos klaidos išėjom brandesni. Programuotojas irgi. Jis plaukus nuo galvos rovėsi ir tikrai labai ėmė į širdį, nes yra itin atsakingas ir atidus žmogus. Pasisekė, kad mūsų klientas-partneris taip pat turi protingą požiūrį į klaidas.
Ką padarėme po to?
– Įdiegėme privalomus automatinius testus kritinėms vietoms.
– Sustiprinome peržiūros procesą – keturių akių taisyklė tapo ne rekomendacija, o standartu.
– Įdarbinome AI įrankius, kurie papildomai analizuoja kodą ir padeda aptikti galimas saugumo spragas.
Kaip nubaudėme suklydusį?
Mes jį paskyrėme būti atsakingu už įmokų surinkimo integracijų programavimą.
Programuotojas, padaręs klaidą, yra stiprus profesionalas ir atsakingas žmogus. Jam tai buvo skaudi, bet labai aiški pamoka.
Žmogus, kuris jau suprato, kokią kainą gali turėti viena nepastebėta eilutė, dažnai tampa stipriausiu kokybės sargu komandoje.
Susidomėjote? Aptarkime jūsų projektą
Paskambinkite ar parašykite el. laišką ir mes suplanuosime susitikimą kurio metu aptarsime jūsų projektą ir mūsų idėjas jums.