sobre injeção de código malicioso

to postando qualquer coisa só pra ter tab coins.

o que te impede de injetar um keylogger no programa da empresa? no meu caso, é só a ética mesmo, não temos um sistema que trave o check-in. Temos um procedimento de ter pelo menos duas pessoas lendo o code review antes de fazer o check-in. Mas, pra fazer check-in, qualquer pessoa do time pode fazer.

é certo que temos que ter certo grau de confiança na equipe, mas e quando se trata de usar bibliotecas públicas, como garantir que não há código malicioso nelas?

devemos confiar em todos devs?

manieroano passado

Não tem jeito. Ou tem que ter a confiança, sobre qualquer coisa, qualquer um, ou tem que ter métodos muito fortes para avaliar tudo o que é usado. O que não torna a confiança desnecessária, aí muda onde deve ter a confiança.

Se não confia em algo, tem que avaliar cada código que entra ou sai e deve ter o trabalho de fazer isso profundamente e de forma competente. Em muitos casos começará a fazer sentido fazer por conta própria para ter mais confiança. Por isso, a maioria só prefere confiar e assumir o prejuízo se ele acontecer.

Faz sentido para você?

Espero ter ajudado.

Farei algo que muitos pedem para aprender a programar corretamente, gratuitamente. Para saber quando, me segue nas suas plataformas preferidas. Quase não as uso, não terá infindas notificações (links aqui).

ainjacksonano passado
acho muito vulnerável essa ideia de confiar cegamente. O Jomma até disse q trabalhou num a empresa grande e teve que fazer quase tudo do zero, quase tudo mesmo. a grande maioria das empresas nao tem essa preocupação, e nem sequer mapeiam esse risco. vou colocar o video do jomma aqui pra vcs verem, na parte em que ele fala desse emprego em que teve q fazer quase tudo do zero. edit: video do joma vejam a obs acima do video no minuto 4:39 https://youtu.be/1fPWr0d5zBE&t=218
manieroano passado
Sim, totalmente. As empresas fazem cada maluquice, depois reclama que são sacaneadas, que ficam reféns de *crackers* e tomam processos. Não é só isso, tem muita decisão errada. Eu sei que em muitos casos os dirigentes maiores da empresa aceitam os riscos porque não entendem a gravidade, mas em outros é o TI que faz errado. Por exemplo, vai deixar a comunciação da empresa passar pelo WhatsApp? É uma loucura. Eu sei que é o canal de comunicação preferido das pessoas, mas ele gera problemas para a empresa. O Telegram, com algum trabalho, funciona melhor, o maior problema é fazer as pessoas usarem. Se a empresa quer assumnir o risco é ok, mas o TI tem que alertar que sobre o problema, mas muitos "profisionais" da área não sabem que eels existem. Só porque parece que está tudo ok, não quer dizer que está.