在流行的信息安全博客Niebezpiecznik.pl 上有一篇文章,描述了一个有趣的情况。
一家公司错误地将其 BitBucket 存储库的访问权限授予随机程序员。该程序员随后向公司的多名员工发出了警告,敦促他们尽快撤销访问权限。他发现这些员工反应迟钝(例如,有人说他只有在假期回来后才会撤消访问权限),因此提醒了 Niebezpiecznik 博客,该博客随后联系了该公司。直到那时,访问权限才被撤销。
很明显,程序员认为没有立即撤销访问权限是代表公司安全政策的一个非常严重的疏忽。这就是我感到惊讶的地方。
因此,让我们从公司的角度考虑这一点。有人联系他们,声称他被虚假授予访问他们私人仓库的权限,并敦促他们撤销此访问权限。现在这个人要么对这个 repo 的内容感兴趣,要么不感兴趣;他也有或没有足够强大的道德价值观来避免下载它。如果他愿意检查 repo 的内容,他已经有足够的时间来做这件事了;如果他还没有这样做,那么到员工休假回来时,他可能还没有这样做。换句话说,牛奶已经洒了,没有比已经发生的更糟糕的事情在未来发生了。
因此,我认为,情况不再紧急,可以完全等到员工休假回来。
我哪里错了?