Parce que les programmeurs n'ont pas été invités à tester cela et la culture d'entreprise écrasante ne leur a pas donné suffisamment de latitude pour que leur sens de l'éthique professionnelle se manifeste et exige encore quelques semaines pour tester les failles de sécurité. Ou d'insister pour qu'ils soient en sécurité dès le départ.
Parce que le patron ne voulait pas passer quelques semaines supplémentaires à tester les problèmes de sécurité pour ... quelle que soit la raison. Un bonus supplémentaire à la fin de l'année. Présentant Johnson du département suivant. Droits de vantardise. Devoir envers l'entreprise. Paresse. Méfiance à l'égard des conseils du sous-traitant.
Parce que le grand patron a exigé plus de profits et a promu Johnson par rapport à Bob parce que ses chiffres étaient meilleurs plutôt que d'exiger un meilleur produit. Parce que la qualité et la sécurité sont des valeurs difficiles à afficher sur une feuille de calcul. Parce que les entreprises existent pour gagner de l'argent.
De telles choses sont un problème systématique. Cela se résume à "parce qu'ils sont des imbéciles".
Les
programmeurs d' édition peuvent éviter d'être la chèvre sacrificielle en signalant un problème à leur patron. Il fera soit la bonne chose et fera un plan pour le réparer, ou vous dira de l'ignorer. S'il ne le résout pas, officialisez-le, demandez-le par e-mail. Utilisez des mots clés relatifs au problème, comme «vulnérabilité», «injection», «violation de sécurité» dans ce cas. Des trucs qu'une recherche d'email ramasserait.
C'est passer la balle. C'est maintenant la responsabilité de votre patron. Si c'est important, comme si des gens vont mourir quand cette chose échoue, passez la tête et portez le problème à l'attention de son patron. Vous pouvez être licencié pour avoir simplement renvoyé la balle, et vous pouvez toujours être licencié même si vous le transmettez, mais c'est la bonne chose à faire. Pas aussi juste que de régler le problème, mais proche.