Tein siis puhtaita refactoring-muutoksia.
Tuo refactoring juuri kuten kuvasit, olisi todella hienoa. Mutta tämän asian saa yleensä menemään totaalisen pieleen ne asiakkaat. Yleensä mielenkiintoa maksaa määrittelyistä, dokumentoinnista, testaukseta, ei tahdo löytyä. Löytyy vain mielenkiintoa saada joku koodinkikkare tehtyä mahdollisimman halvalla ja nopeasti. Kukapa maksaisi refactoringista yhtään mitään, miksi kukaan haluaisi tehdä sitä, eihän sillä saavuteta mitään 'lisäarvoa'.
Yleensä tavoitteena on mm. lisätä uusia ominaisuuksia törkeillä kludgeilla mahdollisimman nopeasti. Sillä ei ole mitään väliä jos nuo tuottavat tietoturva tai suorituskyky ongelmia. Kunhan saadaan jotain 'toimivaa' nopeasti ulos.
Nimimerkillä, been there, done that.
Jos sanot että nyt haluttais käyttää 10-50 euroa siihen, että vähän mietiskellään tätä teidän koodia. Niin asiakkaat nauraa sut heti pihalle.
No niin foorumilaiset? Kuka haluaa sponsoroida Open Source / Linux koodin refaktorointia kymppitonnilla? Anyone? Luulen vaan että vähän hiljaista pitää.
Monesti puhutaan että IT projektien laatu on kuraa ja hommat tehdään vähän sinne päin ja huonosti. No kyllä, useinmiten se tuntuu olevan myös tilaajan ensisijainen tavoite, valitettavasti.
Tuollainen shellshockin kaltainen ominaisuus voi ihan hyvin tulla siitä että ääääh, ei hitto, tätä ei pysty hoitamaa nyt tämän kautta kun... Mutta hei, jos mä modaan tuota koodia niin että voin suorittaa siellä vapaavalintaista koodia, niin sitten voin syöttää datassa sen koodin ja voin tehdä tosi kätevästi kaikenlaisia virivirejä, mitä muut sanoi että on kauhean hankalaa muka tehdä. Jees, no niin, nyt tää on hoidettu, ähäkutti.
Sitä siis saa, mitä tilaa. Lisäksi tuollaisen ominaisuuden implementointia voi jopa pitää suorastaan nerokkaana, kaikki muut tollot väitti että homma on jotenkin vaikeeta, mutta nyt sujuu nää asiat tosi kätevästi. Eikä enkä juuri siinä kyseisessä tilanteessa ollut mahdollista syöttää suoraan käyttäjien antamaa dataa.
Jos menet kertomaan että projektin tietoturvasertifiointi maksaa vaikka 50000 euroa, niin vastaus on hyvin nopeasti, että me ei tarvita sitä, eikä meitä kiinnosta. Kuhan se nyt vaan 'toimii'. Ja toimimisella ei todellakaan tarkoiteta mitään kokonaisvaltaista testausta, vaan sitä, että se jotenkuten täyttää liiketoiminta tarpeet, eikä aiheuta kohtuuttomia ongelmia, vaikka ei toimisikaan edes noiden osa-alueiden osalta ihan aukottomasti. Joten, ketä kiinnostaa tietoturva? Useimpia ei kiinnosta, piste. Tämä sama kuvio toistuu jatkuvasti uudestaan ja uudestaan, joten ei pitäisi todellakaan tulla kenellekään yllätyksenä.
