2013-02-12 74 views
-1

因此,我正在做QA工程師,構建測試環境和測試的短暫演出。我看到存儲在數據庫中的密碼未加密。我對這個話題做了一些閱讀,顯然這是一種不好的做法。正在將數據庫密碼存入未加密的_bug_?

我應該將它報告爲一個錯誤嗎?

+0

我會將它標記給你的團隊負責人......這是否是一個錯誤取決於它是否應該這樣做,但是不管它是否應該這樣做,這是一個巨大的問題。 – Arran 2013-02-12 13:42:28

回答

4

如果對系統的規定要求是密碼應該被加密存儲,那麼這是一個錯誤。如果沒有這樣的明確要求,我會將其報告爲潛在的安全弱點。

0

不是它的錯誤,但作爲建議的一部分,您可以強制開發人員進行加密,因爲密碼不是簡單的信息。但最終取決於組織的組織結構。正在討論權威。

0

錯誤是與預期行爲的差異。如果系統的預期行爲包括「不以純文本存儲密碼」或「遵守最低安全標準」,則實際行爲就是一個錯誤。如果沒有這樣的期望存在,這種行爲不是一個錯誤。我們不知道你的產品,所以我們不能回答這個行爲是否是一個錯誤的問題。如果您不知道給定的行爲是否是bug,請詢問負責定義產品的人員。

相關問題