PCI / DSS要求指示应至少每天检查应用程序的日志以查找安全事件。大多数网络/基础架构专业人员可以查看网络设备日志,但不熟悉实际应用程序。对大多数安全专业人员来说也是如此。
那么,开发人员是否真的踩到了这个要求?如果您必须为开发人员编写一份职位描述,其唯一的工作是审核日志,那么它包含什么?
答案 0 :(得分:2)
安全/严重事件应该单独记录,以便更快地发现它们。可能会通过电子邮件发送它们或使用其他技术,以便自动通知相应的人员。没有人应该检查应用程序日志以查找安全事件。作为开发人员,我会定期查看生产错误。我正在努力获得支持以访问错误,我将教他们如何解释最常见的错误,但我仍然会处理不太常见的错误。另外,当我查看prod错误时,我会评估最常见错误的消息以改进它们。
所以我认为开发应该定期检查prod错误,确保重要的(即安全性)日志自动发送给适当的人员,并将最常见的错误传输处理到其他组(支持基础设施,安全性等)。如果有人负责审查日志,我不会称他们为开发人员。
答案 1 :(得分:2)
当我想诊断一些我已经知道错误(或可能出错)的东西时,我会查看日志。
对于其他问题,我希望得到通知。
对我来说,“一个唯一的工作就是审查日志的开发人员”是一个矛盾的说法:如果你只是在查看日志,那么你就不会开发,因此你不是开发人员。
答案 2 :(得分:1)
我个人认为开发人员不会加紧满足这一要求。大多数开发人员都关注开发工作......而不是应用程序专家会处理的事情。
如果我要为开发人员编写一份职位描述,而开发人员的唯一工作是审查日志,那么它将包含一些关于研究应用程序架构并成为软件使用和实现专家的内容。
答案 3 :(得分:0)
在我的公司,我们要求应用程序需要运行这么长时间而不会给QA发布版本带来严重麻烦。
将其视为发布后测试阶段。
所以只要我们在这个中,应用就是生命;但是QA 阶段尚未发布,我每天至少审核一次日志。 (当然,我们还有其他方法可以获得有关错误的通知,但我了解了很多关于用户如何以这种方式操作软件的错误假设。)
答案 4 :(得分:0)
我认为这是一个系统管理任务,而不是开发人员承担的任务。日志中的任何问题都会在问题跟踪系统中标记,然后由开发负责人/产品经理分发给开发团队,如果需要更改代码库来解决缺陷/错误。