2009/9/24 Matias Pablo Brutti <[email protected]>: > Nico, > Ni a) ni b) me importan porque yo soy un consultor de seguridad no un > developer o manager. Así que mi experiencia se basa en leer demasiadas > lineas de código de demasiados lenguajes de demasiados developers ;) > ajajajaaj Y como dije antes, en mi experiencia, muchos no tienen ni idea de > seguridad. :D > Slds.
a) aplica a medias. Si le haces una consultoria a alguien que no sabe nada de seguridad, enseñale :P Igual, nos estamos yendo de tema :) > 2009/9/24 Nicolás Sanguinetti <[email protected]> >> >> 2009/9/24 Matias Pablo Brutti <[email protected]>: >> > Nico, >> > Exacto, por ese tipo de razonamiento creo que puede ayudar a que uno >> > diga >> > no pera pero eso no debería ser así. Pero estamos asumiendo que al menos >> > uno >> > de los developers tiene idea de seguridad. Que por experiencia propia, y >> > sin >> > ofender a nadie, en general los developers no tienen mucha idea de >> > seguridad. >> > Basados en que ambos developers no tienen un buen entendimiento de >> > "buenas >> > practicas" de programación, puede que la mescolanza de código constante >> > entre dos personas cause que algo no este 100% correcto, o que uno asuma >> > algo que el otro no hizo. Hay muchos factores que puede perjudicar, así >> > como >> > muchos que pueden ayudar. La realidad es que depende mucho de la >> > situación y >> > de que tan bien preparados estén los developers. Y si te pones a pensar, >> > esto es algo que también afecta al desarrollo "común", asi que talves la >> > respuesta es que no cambia en nada. :) >> >> Ta, si el problema es que trabajas con gente que no sabe de seguridad, >> o que no sabe programar, tenes dos soluciones: >> >> a) les enseñas >> >> b) los rajas a la mierda >> >> >> (o en caso de que no estes en una posicion de ejecutar b, te buscas >> otro trabajo) >> >> > Bue, por eso preguntaba si alguien tenia data sobre el tema, porque sin >> > datos reales solo puede tener "teorías" subjetivas sobre el tema. >> > Slds >> > >> > >> > 2009/9/24 Nicolás Sanguinetti <[email protected]> >> >> >> >> 2009/9/24 Matias Pablo Brutti <[email protected]>: >> >> > Interesantes los papers, pero ninguno se refiere a lo que yo mencione >> >> > en >> >> > el >> >> > email. Estoy hablando de estudios sobre si pair programming introduce >> >> > mas o >> >> > menos vulnerabilidades en el código desde el punto de vista de la >> >> > seguridad. >> >> > Estos papers son interesantes pero apuntan a otra cosa :D Gracias de >> >> > todos >> >> > modos ! >> >> > Slds. >> >> >> >> Va de nuevo la pregunta: cuáles son tus teorías en por qué ayuda (o >> >> no) en el área de seguridad? >> >> >> >> Para mi ayuda (sin una demostración factual, pero ta, tenés dos >> >> personas hablando del tema, si a una se le pasa por algo un detalle, a >> >> la otra capaz que no) >> >> >> >> > >> >> > 2009/9/24 Maximiliano Guzman <[email protected]> >> >> >> >> >> >> Ahí van algunos estudios: >> >> >> >> >> >> The costs and benefits of pair programming: >> >> >> collaboration.csc.ncsu.edu/laurie/Papers/XPSardinia.PDF >> >> >> >> >> >> Strenthening the case for pair programming: >> >> >> www.cs.utah.edu/~lwilliam/Papers/ieeeSoftware.PDF >> >> >> >> >> >> 2009/9/23 Matias Pablo Brutti <[email protected]> >> >> >>> >> >> >>> Me interesaria saber si hay algun estudio que indique si pair >> >> >>> programming >> >> >>> introduce mas o menos bugs ( vulnerabilidades ) en el codigo. Tengo >> >> >>> teorias >> >> >>> a favor y en contra. Pero seria interesante saber si alguna >> >> >>> compania >> >> >>> hizo >> >> >>> algun estudio serio del tema. :D Alguien sabe de algun estudio de >> >> >>> este >> >> >>> tipo >> >> >>> ? >> >> >>> Slds >> >> >>> >> >> >>> 2009/9/23 Joaquín Vicente <[email protected]> >> >> >>>> >> >> >>>> >> >> >>>> 2009/9/23 Agustin Nicolas Viñao Laseras <[email protected]> >> >> >>>>> >> >> >>>>> Carlos, es correcto lo que decis, veo la diferencia en PP que el >> >> >>>>> costo >> >> >>>>> de hora de desarrollo es mas elevaldo (por poner 2 recursos en >> >> >>>>> lugar >> >> >>>>> de 1) >> >> >>>>> pero al mismo tiempo son menos las horas de desarrollo y menos >> >> >>>>> los >> >> >>>>> problemas >> >> >>>>> (errores, bugs, etc) que se podra presentar a posterior. >> >> >>>>> >> >> >>>>> Por lo tanto, y desde mi perspectiva, un mismo desarrollo lleva >> >> >>>>> mas >> >> >>>>> horas con 2 programadores separados que con 2 programadores >> >> >>>>> haciendo >> >> >>>>> PP. Lo >> >> >>>>> cual eleva el costo de hora en PP para cualquier proyecto. >> >> >>>>> >> >> >>>>> Corrijanme si no es correcta esta relacion de menor cantidad de >> >> >>>>> horas >> >> >>>>> para un mismo desarrollo haciendo PP. >> >> >>>> >> >> >>>> Se puede pensar el pair programming como la relación entre 1 >> >> >>>> senior >> >> >>>> (equipo de pair programming) y 2 juniors (dos desarrolladores >> >> >>>> separados). El >> >> >>>> valor de la hora de trabajo de un senior es más cara que un >> >> >>>> junior, >> >> >>>> pero es >> >> >>>> mucho más eficiente trabajando que cada junior por separado. >> >> >>>> Incluso >> >> >>>> puede >> >> >>>> ser más eficiente que los dos juniors juntos. >> >> >>>> >> >> >>>> En el caso de dos personas haciendo pair programming, si bien >> >> >>>> parece >> >> >>>> más >> >> >>>> cara la hora de desarrollo, trabajan mucho más eficientemente. El >> >> >>>> costo se >> >> >>>> compensa y hasta puede ser más efectivo. >> >> >>>> >> >> >>>> >> >> >>>> Joaquín Vicente >> >> >>>> >> >> >>>> _______________________________________________ >> >> >>>> Ruby mailing list >> >> >>>> [email protected] >> >> >>>> >> >> >>>> >> >> >>>> http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar >> >> >>>> >> >> >>> >> >> >>> >> >> >>> >> >> >>> -- >> >> >>> -- >> >> >>> --<自由編碼人>-- >> >> >>> Ing. Matias Pablo Brutti >> >> >>> Security Consultant >> >> >>> Email : [email protected] >> >> >>> Site: http://www.freedomcoder.com.ar >> >> >>> >> >> >>> _______________________________________________ >> >> >>> Ruby mailing list >> >> >>> [email protected] >> >> >>> >> >> >>> >> >> >>> http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar >> >> >>> >> >> >> >> >> >> >> >> >> _______________________________________________ >> >> >> Ruby mailing list >> >> >> [email protected] >> >> >> >> >> >> >> >> >> http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar >> >> >> >> >> > >> >> > >> >> > >> >> > -- >> >> > -- >> >> > --<自由編碼人>-- >> >> > Ing. Matias Pablo Brutti >> >> > Security Consultant >> >> > Email : [email protected] >> >> > Site: http://www.freedomcoder.com.ar >> >> > >> >> > _______________________________________________ >> >> > Ruby mailing list >> >> > [email protected] >> >> > >> >> > http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar >> >> > >> >> > >> >> _______________________________________________ >> >> Ruby mailing list >> >> [email protected] >> >> >> >> http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar >> > >> > >> > >> > -- >> > -- >> > --<自由編碼人>-- >> > Ing. Matias Pablo Brutti >> > Security Consultant >> > Email : [email protected] >> > Site: http://www.freedomcoder.com.ar >> > >> > _______________________________________________ >> > Ruby mailing list >> > [email protected] >> > http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar >> > >> > >> _______________________________________________ >> Ruby mailing list >> [email protected] >> http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar > > > > -- > -- > --<自由編碼人>-- > Ing. Matias Pablo Brutti > Security Consultant > Email : [email protected] > Site: http://www.freedomcoder.com.ar > > _______________________________________________ > Ruby mailing list > [email protected] > http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar > > _______________________________________________ Ruby mailing list [email protected] http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar
