幫人代PO 我不會寫程式 以下正文 -- 朋友最近天氣熱,跑到山上的樹下睡覺,夢到一些事情,希望版友們幫忙解夢。 夢裡那裏標榜自己資安沒問題的金融公司,背後的一些「有趣」現象。 這些公司常常掛著 ISO 27001 的證書,彷彿這樣資安就沒有問題。 然而除了防火牆管得緊,內部的權限管理卻是一團亂。 很多伺服器就像擁有無敵星星一樣,什麼權限都有。 最高機密的專案文件,竟然可以被輕易上傳到一個非常知名的開源平台上。 結果等到該平台通知才發現,公司因此緊急封鎖整個平台,工程師們一夕之間回到解放前 。 另外,在跟外部廠商簽合約時,卻常常出現保障不足的問題。 結果變成乙方廠商說了算,公司一點主導權都沒有,廠商一拖二鬧三擺爛。 朋友夢到這裡就嚇醒了,現實不可能有這麼誇張的事情吧? -- ※ 發信站: 批踢踢實業坊(ptt.org.tw), 來自: 36.236.153.108 (臺灣) ※ 文章網址: https://ptt.org.tw/Soft_Job/M.1722158410.A.28B
neo5277: 放眼望去這個業界有很意外嗎?07/28 17:28
WWIII: 感覺就台商日常07/28 17:30
Smallsh: 什麼!07/28 17:37
abc21086999: 台商意外ㄇ07/28 17:39
nh60211as: 防火牆管得緊怎麼上傳到知名開源平台07/28 17:52
kimi112136: 連線到各機器的防火牆規則一大堆,但是出去的規則少07/28 18:01
kimi112136: 的可憐07/28 18:01
za755188: 防火牆管的緊也不會擋port 443 outbound吧07/28 18:05
hermithsieh: 其他中小企業…07/28 18:05
za755188: 不知道資安做的好的怎麼擋這種07/28 18:06
fgh81113: 機器又沒說不能帶回去 07/28 18:12
lazarus1121: 都要透過proxy對外吧,還要有白名單才給過07/28 18:13
mercurycgt68: 人家好心通知 你用封鎖報答QAQ07/28 18:18
wulouise: 怎麼我一點都不覺得鬼故事,啊台商都這樣啦07/28 18:20
OyodoKai: 做金融的資安這樣 我嚇死了QQ07/28 18:21
sniper2824: 這需要夢嗎 不是大家都知道?07/28 18:28
ikachann: 我只知道做金融的要資料沒資料 很多東西都要通靈 要個東07/28 18:36
ikachann: 西也要很久才會回覆,但是死線一點都不給你拖07/28 18:36
abc0922001: 正常阿,金融業又不是軟體資安業,主管大概都不懂07/28 18:38
superpandal: 這個簡單 outbound綁ip就可以了 預設全封 會linux即07/28 19:52
superpandal: 可07/28 19:52
ruthertw: 玉山可是有鬼島112偉大叫獸在規劃和佈局,你什麼咖敢嘴? 07/28 19:56
ms0443001: 中小企業日常…疑07/28 20:02
tsaigi: 銀行這樣算普通了 我去中小裡面更恐怖07/28 20:37
airtsubasa: 台商?不只吧 等稽核到而已07/28 20:41
jack529: 台商等級資安 不意外07/28 20:58
kurtsgm: 把文件commit到github喔? 但也不至於變成開源吧07/28 21:12
pilor: 台灣甲方就是個joke07/28 21:14
kurtsgm: 最後一段我反而很意外07/28 21:14
kurtsgm: 銀行會被乙方壓著打? 我是不太信 除非這乙方很大尾07/28 21:15
nayeonmywife: 甲方不熟程式就會被乙方主導07/28 21:23
OyodoKai: 真的 簽約的時候沒簽好保固條款 廠商甩也不甩07/28 21:25
OyodoKai: 台灣乃至全世界的乙方都便宜行事 那個技術債很可怕 07/28 21:26
NDark: 錢若不花在教育 就會花在監獄 這點在甲方也成立07/28 21:28
NDark: 甲方以為把成本外部化可以把責任都推給乙方自己不養技術人07/28 21:29
NDark: 結果遇到問題自然會被人綁架07/28 21:29
ssccg: 防火牆MITM 443 port很普遍好嗎,只是顯然沒串好DLP07/28 21:48
kimakist: 大樹守衛者!07/28 22:24
BoXeX: 我也不太相信銀行甲方會被乙方主導 很久以前當乙方07/28 22:26
BoXeX: 說多難搞就有多難搞07/28 22:26
BoXeX: 除非說 有那種狀況 恩07/28 22:26
johnbill: 傳到github... = = 連我不在民間企業都有自己gitlab07/28 22:36
WaterLengend: 還有被乙方玩整個資料被幹走不還的勒07/28 22:43
dalbuhr: 他們面試不是不容易嗎? 07/29 01:04
BlueBird5566: 看看就好,不要亂上車07/29 01:09
BlueBird5566: 前面才一串講高山大樹在帶風向07/29 01:09
BlueBird5566: 這篇又突然要講高山大樹,好像別家銀行都沒這些問07/29 01:10
BlueBird5566: 題一樣,這針對性太強07/29 01:10
BlueBird5566: 有待過乙方就知道了,那幾家金控都很跩的07/29 01:11
VL1003: 簽約沒簽後續保固,本來就不會甩你阿,當初怎麼驗收過的07/29 07:09
VL1003: 然後乙方能夠跩到不甩銀行業我也不信,這行業背後哪有幾07/29 07:14
VL1003: 家乙方惹得起,而且看案子,有些原廠也會進場壓好嗎…07/29 07:14
lilicoco520: 多年前遇過某家銀行被乙方牽著走,出問題只能坐等廠07/29 07:32
lilicoco520: 商午休回來,還要低聲下氣求幫忙。還聽過拿不到code07/29 07:32
lilicoco520: ,只能通靈的…有些事情不用太意外,進去前多問問 07/29 07:32
lilicoco520: 內部不熟就很容易被乙方主導07/29 07:34
wuyiulin: 臺灣資安不意外。07/29 09:36
wuyiulin: 然後我是不太信大樹不懂技術啦,他們在101附近養了一批07/29 09:37
wuyiulin: 大樹守衛。07/29 09:37
neo5277: 數數發的確很大樹守衛呵呵呵07/29 09:40
za755188: 但除非不准用 GitHub 不然outbound綁ip 也沒用啊07/29 09:49
za755188: 不知道怎麼防把不該上傳的東西放上去07/29 09:50
Xunion: 這不用夢吧 大家都知道07/29 10:12
Suleika: 大樹不是銀行頭了還這麼離奇 不敢想其他間...07/29 10:27
Goldx5: 台灣資安不意外?你以為只有台灣這樣嗎07/29 10:27
bill0205: 前幾年不就有大樹的鬼故事 雖然跟這些無關 07/29 10:34
kcjgg: 博弈的資安做得可能都比這些銀行還好07/29 11:17
atpx: 除了上傳那段細節太少外,被廠商綁架是銀行常有的事。沒被07/29 12:35
atpx: 綁就是廠商不夠大而已。IBM微軟就跩得很07/29 12:35
ccvs: 這誰不知道?07/29 13:14
superpandal: 防火牆可以每台不一樣 而且東西放github上本身就不是07/29 13:28
superpandal: 好主意07/29 13:29
h22349: 一聽就是菜逼吧的工作態度07/29 14:23
h22349: 公司在動態發展過程中,出現異常,就是修正,外商跟台商07/29 14:25
h22349: 都一樣,你應該沒跟很多超大外商合作過。 還在這裡批評給07/29 14:25
h22349: 你錢的公司,而不去修正問題07/29 14:25
h22349: 看到,真的是翻白眼,公司請到這種人真的衰07/29 14:27
popo81823: 如果是正式機的資料,那確實蠻屌的 07/29 15:53
Lordaeron: 不等發生了,請問效益你要怎麼報? 07/29 15:55
Lordaeron: 你要給股東膠袋的。 07/29 15:55
kurtsgm: 一顆小螺絲想要修正公司是不是有點異想天開啊….更何況 07/29 15:57
kurtsgm: 是銀行 真的別鬧XD 07/29 15:57
lazarus1121: 不過你朋友說故事的方式真的不像待過10大軟體公司 07/29 15:59
sjr500: 應付應付,出包再補 07/29 16:06
menShow: 說個笑話 iso 27001 懂得就懂有多好笑~ 07/29 16:48
realkim: 27001搞假的? 07/29 17:21
ccvs: 叫你代po的人發言有夠草,覺得自己很行的語氣是怎樣?? 07/29 17:23
ccvs: 真的快被噁吐了 07/29 17:26
OyodoKai: ccvs是銀行HR嗎...? 怎麼可以氣成這樣 07/29 17:31
h22349: 不用太較真,這種工作態度,社會自然會給他應有的待遇 07/29 17:32
yoyoyolin: 這年頭網路資訊比以前透明不少,現在年輕人往科技業跑 07/29 18:00
yoyoyolin: ,銀行剩一堆學店、老弱殘兵,偶爾出包真的不意外,誰 07/29 18:00
yoyoyolin: 叫你薪水鳥比不了科技業。 07/29 18:00
MoonCode: 通常講四大就是成大 講十大是什麼呢 07/29 18:33
mathrew: 很意外嗎? 07/29 19:16
mathrew: 27001就是搞假的,因為我就是公司ISMS主秘 嘻嘻 07/29 19:17
Killercat: 防火牆管太緊,很多東西都編譯不了啦... 07/29 19:51
Killercat: java還能自己架nexus,go的話自己搞vendor我看誰先抓狂 07/29 19:54
Killercat: 更不用說一堆冷門的如CMake Conan根本無解 07/29 19:55
Killercat: 另外在高山跟大樹聲稱PR99喔,不知道是真的高處不勝寒 07/29 19:56
Killercat: 還是單純是井口太小? =_=a??? 07/29 19:56
Killercat: 我是比較願意相信是高處不勝寒啦.... 07/29 20:06
nelley: 這算日常不算鬼故事。 07/29 20:41
cylee: PR99 這兩間有 Quant 的職缺喔?!! 07/29 20:52
Lomonosov: 所以前十大是哪幾間啊 07/29 20:57
Ekmund: 主計處統計不分產業學歷的PR99吧 07/29 21:51
kirin021: 不了解貼這種文有什麼價值,不爽就離職好嗎 07/29 22:33
Freckle319: 高山大樹PR99 XDD 07/29 23:38
brucetu: 高山大樹在軟體業是不是只有PR30左右 07/29 23:42
viper9709: 大樹守衛www 07/30 00:19
tony316: 說個笑話,我遇到很多從山上來的跟從樹洞走出來的,都笑 07/30 02:03
tony316: 而不語 07/30 02:03
qazwsx12: 銀行不是都不重視it嗎 07/30 08:07
shadow0326: 前半段沒什麼好驚奇的 最後一段不要瞎掰好嗎 07/30 12:49
ppc: XD~ 07/30 14:35
Bujo: 我做夢夢到,他兄弟的銀行跟子公司也是半斤八兩 07/30 15:45
wulouise: 全產業PR99要多少?年薪100萬嗎? 07/30 20:42
holebro: 常有的事 07/30 20:59
superpandal: 直接mirror就好 07/30 21:59
disk249: 台商日常 07/31 01:18
pkro12345: 一堆標榜最高資安結果只是用了https 真的就主打那s 07/31 08:03
Bujo: 銀行業的IT主管都沒有IT專業 07/31 15:00
ssccg: 防火牆管太緊,很多東西都編譯不了? 07/31 16:14
ssccg: 金融業用離線編譯是基本吧...管你用啥tool都要手動抓回來 07/31 16:15
h22349: 看一次噓一次,拿公司錢 批評公司 07/31 21:14
w28103566: 用勞動力交換的有啥好不能批評??又不是送錢給他 08/01 12:03
starburs: 台灣前十大是哪十大?有回答補推 08/01 14:09
bndan: 國外不敢說 但台灣公司不都這樣? 2種極端 一種是鎖的很死要 08/01 16:03
bndan: 做事要先過五關斬六將才能開始 2.沒有管也沒能力管 都是形 08/01 16:03
bndan: 式主義 功能就是出事了能有東西吵嘴跟歸納責任... 08/01 16:04
bndan: 一般小公司發展可能一開始理想都很豐滿 但隨著一路慢慢擴大 08/01 16:04
bndan: 現實就會變的很骨感 變成1或2.. 08/01 16:05
lukelove: 靠北 評不得喔 這裡軟體版 讓大家選工作的時候了就一下 08/01 16:36
lukelove: 不行? 銀行鬼故事靠北多又不是今天才知道 08/01 16:36
pttano: 該平台可以主動search 用戶的資料內容? 08/01 21:07
cplusplus426: 日常 08/03 06:54
adsl12367: 跟你說還不止這兩個 08/04 11:42
adsl12367: 這根本日常 待過都知道 08/04 11:42
asdfghjklasd: 台灣的日常..郵局也一樣 08/05 15:53
ren740719: 現在公司在搞27001,確實是搞假的沒錯 08/06 16:47
TAKADO: 大部份是乙方被剝削吧,多的是要求最高規格資安規範,最現 08/07 13:29
TAKADO: 代化架構,然後只給香蕉價,一條一條需求拿出來過人日評估 08/07 13:29
TAKADO: 完再砍一刀,8折做不做,不做我找別家,在台灣敢跟跟金融 08/07 13:29
TAKADO: 業甲方大小聲的應該一隻手數得出來。 08/07 13:29
albertwi: 99%的台灣乙方為了拿案子,就算免錢也要想辦法不要變踢 08/09 09:23
albertwi: 出大甲方吧…台灣的乙方現在多到每年都有新的乙方出現 08/09 09:23
albertwi: 搶案子搶人,變成老乙方的人力流失也愈來愈快(但個人覺 08/09 09:23
albertwi: 得不見得是壞事) 08/09 09:23
albertwi: 待過乙方就知道大甲方主管比自家公司老闆還大 08/09 09:24
TqpT: 這些甲方只會壓小乙方,遇到比自己大的乙方還不是摸摸鼻子 08/10 01:03