最近xcode很热——我当然不是说软件本身。在工具链里埋炸弹是一个经典手法了,我还以为从putty之后大家应该已经提高警惕了呢。

下面我来数数开发中的一些SB行为。排名不分先后。

下载用百度,下载完成不做MD5

请问你作的是死么?

聊天用QQ,公司密码群里发

下面我要发密码了,请其他同事把头转过去一会。。。

最讨厌的就是这种,自己密码也不简单,乱发,漏了。企业绝对怀疑不到个人头上。但是搞得安全形同虚设。

共享帐号/密码

下面我们三十个admin集体开个会,讨论一下我们中出了一个叛徒的问题。。。

相关密码扔邮箱

结果有一天,你的mail密码不慎漏了,而你不知道。。。

乌云2015大会上特别提到的case。

弱密码

每个公司总有那么几个人,天天用弱密码,说了不改。

安全组不能做主开除这些人的公司,不要妄称安全。

git提交时根本不知道提交了什么

结果把密码提交上去了有木有?

自己去搜一下,这个问题非常常见。

基础工具链交给实习生维护

“高级”的“架构师”当然要关心最有价值的“核心”内容。

院长不亲自操刀手术,不代表一线可以交给实习生好吧。

只是很多公司招不到人,就拿实习生或者资历比较浅的人去凑合了。实话说,出问题只在早晚。

我只是调试,一会就关

我很想知道你和老婆在床上的时间能不能比“一会”更长。还是说你是“一会就完事”的那一号?

凡是在一次约会时间里搞不定的事情。。。那就不是一会。。。

无套一时爽,XXxXX。。。

公司电脑不加密

笔记本或者U盘不小心丢了会上新闻的人,在公司里占了大多数。。。区别只在于,上科技新闻,娱乐新闻还是联播新闻。。。

如果需要在存储上保存保密内容,请先对存储本身加密。更安全的,你需要对整个系统做签署。硬盘加密保护的是数据机密性,系统签署保护的是可信环境,两者相辅相成。

PS: 很多人电脑是加密的。手机呢?

工具链用的全是非开源产品,还都是盗版的

X,这年头盗版和免费软件(尤其是国产盗版和免费软件)简直是黑产样本大全。

如果你要用软件,请付费。如果不想付钱,用开源。而且建议简单看一下源码。用免费版的,你自己就是产品。

安全无所谓拉

反正只要不是我故意搞出来的,出问题最多被骂一顿了事。还是关心怎么赚钱升职走上人生巅峰比较重要。

这TM怎么骂?这是极其NB正确无比的人生观,我连下嘴的地方都没有。