我应该使用第三方的未知代码吗？

Question

我期待建立和主持一个客户网站。他们现有的网站有一个设施，让客户作出捐赠，他们希望新网站也拥有它。

我的经理告诉他们，我们可以把他们现有的代码和数据放到我们的服务器上，并要求我继续这样做。

我对这样做很谨慎，因为我实际上不知道代码是如何工作的，也不能保证它是可靠的，甚至是安全的。我的经理说它必须是安全的，因为它已经在他们的网站上正常工作了。此外，他不能让我花时间阅读和试图理解它。他只想让我复制粘贴。

我继续走安全吗？

注:我想这是一个伦理/法律问题。但我想在这里张贴，以了解技术方面的原因。

Answer 1

从业务流程的角度来看，您有风险的概念：

• 出问题的可能性有多大？
• 如果它确实出了问题，可能会产生什么影响？
• 你接受、减轻或避免这种风险吗？

当你的经理似乎站在接受风险的一边时，你正在接近想要避免风险的过程。

另一方面，也存在着机会成本：

• 行动的潜在收益是什么？
• 这一行动有多大可能会有回报？
• 你是接受，减轻，还是回避这个机会？

你有一个客户付钱给你，如果你拒绝这样做，你就会损失这笔钱--还有潜在的合同。

话虽如此，我认为你还没有探索到中间地带。“缓解”的中间地带。

通常的做法是将面向外部的web应用程序放置在非军事化区域( DMZ )中，其中DMZ的两边都有防火墙，这样您就可以减轻外部的不良参与者和DMZ内部的不良代码。

您可能会考虑在第三方代码周围添加另一组防火墙，假设复制和部署是使其正常工作所需的全部条件。通常还需要进一步的配置。

我们都可以反复争论代码是否安全，但这确实不是我们应该问的问题。这会对你的环境和操作造成多大的影响。在商业中，总是有风险和回报的平衡。最后，只要每个人都在你公司的合法架构内工作，就必须有人决定如何处理风险。如果你的经理决定接受风险(而且他有这样做的合法权利)，那么如果确实出了问题，他将负最终的责任。

简而言之，如果你不能量化你的担忧，或者他们被证明是在可接受的范围内，你将不得不按照你的经理的话去做。如果您可以想出一个低成本的解决方案，以尽量减少对您的基础设施的潜在损害，那么您可以提出这样的建议。

Answer 2

计算此代码的方式与评估任何其他代码的方式相同：

1. 它做它应该做的事吗？
2. 它是否符合安全和稳定方面合理的“最佳做法”？
3. 它是否需要适应或改变以适应您的环境？

这些东西应该被认为是“复制粘贴”代码行为的一部分。没有人合理地期望代码从大门外运行，只需简单的复制/粘贴即可。你必须把它连接起来，测试它，用它做所有平常的事情。

据我所知，这里没有法律或道德问题。这不是您的代码，但另一家公司正在授予您使用它的权限。这取决于你的经理和法律部门，以确保必要的书面协议到位。