外包安全评价

Question

有没有人有通过自由网站外包安全代码审查的经验(比如Rent-a-编码器、Elance、Guru、Getafreelancer等等)？这有效吗？什么是最佳做法？有什么陷阱吗？有人有什么建议或经验教训吗？是否有任何资源或阅读资料来了解更多关于其他人在这方面的经验？

一些示例问题:对于如何筛选具有安全知识的自由职业者，您有什么建议吗？(是否有标准的预测试来筛选候选自由职业者？)对于安全审查，要求进行开放的检查是否更有效，还是创建许多范围较窄的较小任务(例如，检查SQL注入漏洞的代码库)是否更有效？就定价而言，是否有任何标准费率或薪酬范围？收取固定价格更有效，还是奖金有效(例如发现漏洞的奖金)？用金钱来尝试雇佣多个人来完成相同的代码评审任务，最大限度地增加发现问题的机会，或者交叉比较他们的结果，找出最有效率的自由职业者，是一种很好的利用吗？

有一个问题超出了您的范围:您可以假设我理解与未知个人共享此类代码的风险，并对此感到满意。

Answer 1

试图将代码评审分成多个部分，有两个问题。第一个是臭名昭著且一直存在的列举坏处的问题，第二个是招聘和管理远程自由职业者的开销。

去做一个开放式的评论会避免分裂的问题，但是你需要小心，确保自由职业者不会因为他们觉得他们已经写了和你一样多的东西而停在低垂的水果上。任何远程外包都需要非常仔细的说明--非常具体地说明你希望报告的评论将如何管理自由职业者提前停止工作的风险。开发这个规范与自由职业者互动-甚至从一个完整的空白板-将提供一个伟大的机会来评估他们的知识范围和深度比一个小测验所允许的更好。

故意在代码中添加问题，也是评估审查员的一种可能方法，但在此过程中得到反馈太晚，除非您正在寻找审查员重复使用，否则无法使用反馈。

虽然获得多个评论可能值得您的钱，但它可能不值得增加的过程开销。如果技术人员正在做所有的招聘和管理工作，那么他们的时间可能会更好地花在代码和内部审查上，如果项目管理时间充足，那么管理费用可能是可以接受的。

Answer 2

虽然我没有任何经验，聘请一个自由职业者网站进行代码审查，考虑到问题，我相信你真的是在寻找一个人，谁可以只是另一只眼睛抓住一些遗漏。听起来像是一个糟糕的时刻，我知道。但是，如果你想问的是，如果你想要把什么东西放在一起，那就让一个安全的代码编辑器把它整理一下，让它变得漂亮和安全，而你所做的只是专注于逻辑……我想你会失望的。

你需要知道并可能已经准备好95%-97%的代码，已经使用了一些安全的编码原则，你从一开始就构建了它，不能在最后修改它。与一个JUG或其他本地编程组做朋友，也许在那里建立一种关系，看看你是否能以这种方式得到代码审查，或者至少有人可以通过口头传递给某人。

我想如果你要走自由职业路线的话，你想说得更具体些。将程序的各个部分分成几部分，然后出租出去寻找特定类型的漏洞。代码分析是一个很长的过程，如果一个按小时计算时间的人知道寻找bug只值X小时，但是你得到的报酬比它所要求的要少一些，那么你可能得不到一个好的产品，所以动机就消失了。这是一次面试，也许是个好主意，把你知道的错误扔给他们，确保他们能找到它。

我很好奇有更多经验的人会如何回答你的问题。