简单的问题。 开发人员的电脑必须有自由访问networking,包括服务器等,并且必须有pipe理权限才能有效地执行工作。
不过开发者也使用了很多非微软的工具,这些工具有GPL,LGPL,MIT,free-for-all等等。
其中任何一个都可以包含有害的代码。 甚至有人可能用来parsingXML的LGPL库。
而且我们都知道,在UAC提示符点击“是”的那一刻,或者是“sudo”,PC /服务器可能会受到攻击。 受损的服务器可以做很多不好的事情,包括信息泄漏,数据丢失等等。
系统pipe理员如何对付这些问题? 你相信杀毒软件,其他工具?
这是一场永不胜利的战斗,但是你必须继续战斗。 任何微软商店都应该做一些事情:
祝你好运.. :)
我衷心希望这些开发者只有本地pipe理员,并且在Active Directory中只有普通用户帐户。
开发人员可能需要访问服务器等,但如果你还没有这样做,你可以使用一个单独的VLAN的开发环境; 不能访问生产服务器,只能访问dev / qa / staging。 让开发人员使用另一台工作站访问常规生产服务器。
或者,安全性较低,您可以尝试在逻辑级别分离事物(例如,不同的Active Directory林,也许是域)。
如果开发人员能够访问生产系统,请增加对生产系统的logging和监控,并进行一些用户培训:“为什么要login到生产数据库并将所有密码复制到表格? 之类的事情。
注意:这显然取决于你的组织的规模和复杂性。
只是一句话:你似乎怀疑开源工具是危险的。 他们可以,但真正的问题是不控制开发电脑上的可执行代码的存储和使用。 也可以是封闭的来源;)