Простой вопрос. ПК разработчиков должны иметь свободный доступ к сети, включая серверы и т. Д., И они должны иметь административный доступ для эффективного выполнения работы.
Однако разработчики также используют множество инструментов сторонних разработчиков, которые доступны как GPL, LGPL, MIT, free-for-all и т. Д.
Любой из них действительно может содержать вредоносный код. Даже библиотеки LGPL кто-то может использовать, скажем, для анализа XML.
И все мы знаем, что в тот самый момент, когда кто-то нажимает «да» в приглашении UAC или выполняет «sudo», ПК / сервер может быть взломан. А скомпрометированные серверы могут делать много плохих вещей, включая утечку информации, потерю данных и т. Д.
Как системные администраторы борются с этими проблемами? Вы доверяете антивирусам, другим инструментам?
Это постоянная битва, в которой вы никогда не выиграете, но вы должны продолжать сражаться. Несколько вещей, которые обязательно нужно сделать в любом магазине Microsoft:
Удачи.. :)
Я искренне надеюсь, что у этих разработчиков есть только локальный администратор и только обычные учетные записи пользователей в Active Directory.
Разработчикам может потребоваться доступ к серверам и т. Д., Но если вы этого еще не сделали, вы можете использовать отдельную VLAN для среды разработки; нет доступа к производственным серверам, только к dev / qa / staging. Попросите разработчиков использовать другую рабочую станцию для доступа к обычным производственным серверам.
В качестве альтернативы, что менее безопасно, вы можете попытаться разделить вещи на логическом уровне (например, другой лес Active Directory, возможно, домен).
Если разработчики имеют / получают доступ к производственным системам, увеличьте количество журналов и мониторинга производственных систем и проведите некоторое обучение пользователей: «Почему вы вошли в эту производственную базу данных и скопировали таблицу со всеми хэшами паролей?» Такие вещи.
Примечание: это, очевидно, зависит от размера и сложности вашей организации.
Просто замечание: вы, кажется, подозреваете, что инструменты с открытым исходным кодом опасны. Могут быть, но настоящая проблема не в контроле над хранением и использованием исполняемого кода на компьютерах разработчиков. Также может быть с закрытым исходным кодом;)