PCI / DSSには、セキュリティイベントについてアプリケーションのログを少なくとも毎日確認する必要があることを示す要件があります。ほとんどのネットワーク/インフラストラクチャの専門家は、ネットワークデバイスのログを確認できますが、実際のアプリケーションに精通していません。ほとんどのセキュリティ専門家にも同じことが言えます。
それで、開発者は本当にこの要件にステップアップしていますか?ログを確認することが唯一の仕事である開発者の職務記述書を作成する必要がある場合、それには何が含まれますか?
質問する
221 次
5 に答える
2
セキュリティ/重大なイベントは、より迅速に通知されるように、おそらく別々にログに記録する必要があります。適切な人に自動的に通知されるように、電子メールで送信するか、他の手法を使用する可能性があります。セキュリティイベントを探すためにアプリケーションログを確認する必要はありません。開発者として、私は定期的に本番エラーを確認しています。私はエラーにアクセスするためのサポートを得るために働いており、最も一般的なエラーを解釈する方法を彼らに教えますが、それでもあまり一般的でないエラーを処理します。また、prodエラーを確認するときは、最も一般的なエラーのメッセージを評価して改善します。
したがって、開発では定期的に製品エラーを確認し、重要な(つまりセキュリティ)ログが適切な人に自動的に送信されるようにし、最も一般的なエラーを他のグループ(サポートインフラストラクチャ、セキュリティなど)に送信処理する必要があると思います。誰かの唯一の責任がログを確認することである場合、私はそれらを開発者とは呼びません。
于 2009-06-22T16:06:35.930 に答える
1
個人的には、開発者がこの要件を満たすために力を入れているとは思えません。ほとんどの開発者は開発作業に関心があります... アプリケーションの専門家が扱うようなものではありません。
ログのレビューを唯一の仕事とする開発者の職務記述書を書かなければならないとしたら、アプリケーション アーキテクチャを研究し、ソフトウェアの使用と実装の両方の専門家になることに関する内容が含まれているでしょう。
于 2009-06-22T12:44:07.497 に答える
0
これは、開発者が行うものではなく、システム管理の仕事だと思います。ログからの問題は問題追跡システムでフラグが付けられ、欠陥/エラーを解決するためにコードベースの変更が必要な場合、開発リーダー/製品マネージャーによって開発チームに配布されます。
于 2009-06-23T08:25:40.770 に答える
0
私の会社では、QA からのリリースを取得するために、深刻な問題を引き起こすことなく、アプリケーションをある程度長く実行する必要があるという要件があります。
リリース後のベータ段階と考えてください。
私たちがこれにいる限り、アプリは人生です。まだ QAフェーズまでにリリースされていないため、少なくとも 1 日に 1 回はログを確認しています。(もちろん、エラーの通知を受け取る方法は他にもありますが、ユーザーがその方法でソフトウェアを操作する方法について、私自身の悪い思い込みについて多くのことを学びました)。
于 2009-06-22T12:51:42.643 に答える