С точки зрения безопасности это зависит от того, что регистрируется. Если NSLog
(или другие регистраторы) записывают конфиденциальную информацию, вам следует удалить регистратор в производственном коде.
С точки зрения аудита, аудитор не хочет проверять каждое использование NSLog
, чтобы убедиться, что конфиденциальная информация не регистрируется. Он просто скажет вам удалить регистратор.
Я работаю с обеими группами. Мы проверяем код, пишем руководства по кодированию и т. Д. Наше руководство требует, чтобы в производственном коде было отключено ведение журнала. Так что внутренние команды знают, что не стоит пробовать это;)
Мы также отклоним внешнее приложение, которое входит в производственную среду, потому что мы не хотим принимать на себя риск, связанный с случайной утечкой конфиденциальной информации. Нам все равно, что нам говорит разработчик. Просто не стоит тратить время на расследование.
И помните, мы определяем «чувствительный», а не разработчик;)
Я также воспринимаю приложение, которое выполняет много журналов, как приложение, готовое к взрыву. Есть причина, по которой выполняется / требуется так много журналов, и обычно это не стабильность. Это прямо там со «сторожевыми» потоками, которые перезапускают зависшие службы.
Если вы никогда не проходили обзор архитектуры безопасности (SecArch), мы рассмотрим такие вещи.
person
jww
schedule
15.02.2013