所以我作为 QA 工程师做了一个简短的工作,构建测试环境和测试。我看到存储在数据库中的密码未加密。我对该主题进行了一些阅读,很明显这是一种不好的做法。
我应该将其报告为错误吗?
问问题
66 次
3 回答
4
如果系统上的规定要求是密码应该加密存储,那么这是一个错误。如果没有这样的明确要求,我会将其报告为潜在的安全漏洞。
于 2013-02-12T08:37:54.093 回答
0
不,这不是错误,但作为建议的一部分,您可以强制开发人员加密,因为密码不是任何简单的信息。但最终它取决于 org 到 org。讨论权威。
于 2013-02-12T08:38:14.133 回答
0
错误是与预期行为的差异。如果您的系统的预期行为包括“不以纯文本形式存储密码”或“遵守最低安全标准”,那么实际行为就是一个错误。如果不存在这样的期望,则此行为不是错误。我们不了解您的产品,因此我们无法回答这种行为是否是错误的问题。如果您不知道给定行为是否是错误,请询问负责定义您的产品的人员。
于 2013-02-12T18:02:51.840 回答