作为一名自由职业者,我继承了许多开发不佳的自定义 Web 项目。这些项目中的大多数都没有防范 XSS 和 SQL 注入(inject)。在其中一些项目中,我作为唯一的开发人员已经超过 1 年了。当客户要求我添加新功能时,我不会对底层系统的架构进行重大更改。
例如,如果客户要求我在有限的预算内构建一个注册页面,我会重新使用系统的不会阻止 SQL 注入(inject)的数据访问对象,并使用系统的 View 对象来渲染页面清理 XSS 的代码。
如果以后,黑客利用了注册页面中的这些安全漏洞,我要承担责任吗?我从未被要求重写系统数据访问对象或 View 对象。而且由于客户的预算有限,他们不会付钱让我为系统编写新的 DAO 或 View 。那么,当我决定继承这样一个灾难性的项目时,它会自动成为我的错吗?
如果系统的其他部分我很少接触怎么办?我可能已经更改了 View 上的一些文本,或者添加了一个新的 if Controller 中的声明。一旦我“接触”了某些东西,是否意味着我要对整个模块负责,直到我从项目中退休?
最佳答案
告诉他们您看到的任何问题,并估计修复这些问题所需的时间。把它写下来,你就已经把球放在了他们的球场上。他们不能让你对他们自己没有注意你的警告负责。
让我补充一点,如果我能在 15 分钟或更短的时间内解决许多这些问题,那么我会的,这只是出于对我工作的个人自豪感。
关于security - 自由职业者是否要为他从别人那里继承的糟糕代码负责?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1930005/