Renat-MX
@Renat-MX

Как обезопасить сайт от фрилансеров?

Периодически сайт ходит по-рукам фрилансеров и возникло сомнение о "чистоте" их помыслов.
Как не нахватать шеллов и прочих "черных ходов", которые обычно никак не сканируются антивирусами?
Стейджинг и контроль версий не очень подходят т.к. область работ почти по всему ядру CMS и модулей + новые увесистые наработки. По разным местам можно натыкать референсов и потом пробираться.
Как снижают подобные риски (если такое вообще решаемо с разумными трудозатратами)?
  • Вопрос задан
  • 391 просмотр
Решения вопроса 1
trapwalker
@trapwalker
Программист, энтузиаст
Стейджинг и контроль версий не очень подходят т.к. область работ почти по всему ядру CMS и модулей + новые увесистые наработки.

  1. Подходят / не подходят, а если у вас всё это делается без стейджинга и контроля версий, я вам советую продать сайт пока возможность есть со всеми потрохами и поискать себя в другой области. Система контроля версий - это единственное, что потом позволит вам хотя бы задним числом понять кто не чист на руку и отомстить плохими отзывами в профиле.
  2. Не ищите дешевых фрилансеров без репутации и профиля, которым имело бы смысл дорожить.
  3. Держите репозиторий в гитхабе и старайтесь, чтобы разработчик от своего основного эккаунта кодил. Акк должен быть с активностью, историей, иначе что это за разработчик такой? Вообще верно в той поговорке сказано: "не гонялся бы ты, поп, за дешевизной".
  4. Дешевых нонейм-фрилансеров без истории опасно пускать в ядро. Отдавайте их код на ревью ребятам посерьёзнее, с репутацией. Ревью тоже работа, но обойдётся дешевле, чем закодить все эти фичи. За то опытный человек своим глазом глянет. С него потом и спросить можно как это он проглядел вредоносный коммит.
  5. Выносите всё что можно в опенсорс, но контрибьютьте корневой проект сами или через проверенных людей. Тут вам и бесплатные руки (если фичи полезные), илишние глаза для проверки на вшивость.
  6. Не хватает денег на крутых серьёзных разрабов с репутацией, делегируйте им хотя бы составление детального ТЗ и, как я выше уже написал, ревью.
  7. Помните, что порой лучшее - враг хорошего. Умейте выстраивать MVP. По Паретто 80% прибыли вам принесёт 20% фич. Сделайте их хорошо, а остальное, может быть, отпадёт за ненадобностью по факту.
  8. Как говорится "вам пора, и вам пора, с вентиляторным заводом заключать договора". Правильно коллега подметил в соседнем ответе. Вы ж не подпольную крипто-биржу, наверно, там кодите. Можно договора заключать с разрабами в белую. Лишний повод ему не гадить засветив реквизиты и подписавшись.
Ответ написан
Пригласить эксперта
Ответы на вопрос 6
firedragon
@firedragon
Senior .NET developer
Ренат будьте вежливыми, перед тем как сказать досчитайте до 42.
Не кидайте в сугубо криминальном понятии кидка. Все проблемы разрешайте переговорами.
Фрилансерам в общем то до вас без разницы, вы заказчик и оплачиваете банкет, навредить вам и себя подставить так себе развлечение. Ну висит у меня куча паролей. Что мне дропать базу? Я лучше возьму с вас по второму кругу когда вам студенты наворотят, тем более буду знать что там у вас твориться.

У меня есть долгоиграющий проект, завершали мы его раза 4, работало над ним примерно 17 команд. Мы уже друг друга знаем поименно.
Ответ написан
Tryhard770
@Tryhard770
Начинающий верстальщик
Выхода только два. Либо делать все самому, либо найти одного человека который все будет делать сам
Ответ написан
iiiBird
@iiiBird
Пока ты спишь - твой конкурент совершенствуется
как минимум у тебя должен быть договор с каждым фрилансером и подобные пункты в этом договоре. (как раз касающиеся всяких шеллов, бэкдоров, вирусов и пр. можно еще добавить про убытки, которые случились из-за всего этого). ну и все они должны работать в системе контроля версий, чтобы точно узнать чей код и когда был добавлен.
а дальше уже если вдруг, когда-то найдешь подобную вещь - в суд.
Ответ написан
opium
@opium
Просто люблю качественно работать
Судя по описанию идеально подходит стейджинг и контроль версий в Гите
Это прямо что процентное попадание в гит он специально для этого и был сделан
Ответ написан
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Давать кодировать отдельными блоками и ограничивать валидацию только нужным Вам перечнем функций.
PS: Инфы много: если интересно - могу статью черкануть в своём блоге.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы