本文由 dbaplus 社群授权转载。
前阵子有篇文章叫《史上最坑爹外包!花费2亿耗时2年,网站至今未交付》的热文在IT圈刷了屏,讲的是世界顶级咨询公司埃森哲为美国汽车租赁公司赫兹开发新网站和移动应用程序的外包项目烂尾了,后者无奈之下诉诸公堂,从而让这个惊天大瓜暴露在世人面前。我们注意到,该项目代码存在影响面极广的严重安全漏洞,也让其难以投入使用。
一说到外包开发项目中的安全问题,相信找过外包开发商开发项目的同学再熟悉不过了,外包开发项目的安全漏洞不仅多,而且还经常是越权访问、SQL注入、文件上传、代码注入等高危漏洞。
针对这一问题,本文就来谈谈外包开发存在的意义、外包开发中的安全风险与应对解决方案。
一、外包开发存在的意义
外包开发是IT服务外包的一种子类,实质还是基于企业与IT外包服务提供者之间的委托代理关系,由前者提出开发需求与系统设计后,由后者提供应用程序或者系统开发的服务。
首先,随着企业对核心竞争力的重视,越来越多的企业将IT服务外包作为一种新的长期战略成本管理工具,用来消除不属于核心业务的干扰分支。企业需要重新定位,截断价值链中较短的部分,缩小经营范围。