所以我作为QA工程师,建立测试环境和测试做了一个简短的工作。我看到密码存储在未加密的数据库中。我做了一些关于这个主题的阅读,很明显这是一个不好的做法。
我应该将其报告为错误吗?
答案 0 :(得分:4)
如果系统上声明的要求是密码应该加密存储,那么这就是一个错误。如果没有这样明确的要求,我会将其报告为潜在的安全漏洞。
答案 1 :(得分:0)
不,它不是一个错误,但作为建议的一部分,您可以强制开发人员加密,因为密码不是任何简单的信息。但最终它取决于org to org。正在讨论权力。
答案 2 :(得分:0)
错误是与预期行为的差异。如果系统的预期行为包括“不以明文形式存储密码”或“遵守最低安全标准”,则实际行为是一个错误。如果不存在这样的期望,则此行为不是错误。我们不知道您的产品,因此我们无法回答此行为是否是错误的问题。如果您不知道某个行为是否是错误,请询问负责定义您的产品的人员。