【Mr. Smith週記】外判好唔好 唔係靠彩數

家陣公司為咗節省資源，好多嘢都靠外判，等自己唔使養咁多人。就連網絡安全工作都係，一來市場上唔夠人手，二來逐樣產品買亦負擔唔起。理解嘅，在商言商，老闆又錯唔晒，不過如果公司連一個識 IT Security 嘅同事都無，又可以點去評估外判商做緊啲嘢掂唔掂？好似好多企業都鍾意搵公司做 consultation，但公司入面無人識 cyber security，根本唔知點揀，所以有多啲 budget 嘅就會搵 Big 4，因為連銀行金融業都搵佢哋做評估，差極都有個譜啩，但 Mr. Smith 真係要再強調一次，好易中伏！

試過有次公司要搵美國一間大公司做 code review，評估一隻用嚟保護其他 application 嘅軟件有無漏洞。結果報告返咗嚟，話隻軟件嘅 loophole 有方法可以 bypass，於是腦細就揸住份報告叫我搞搞佢。睇完啲 finding，就發現所謂嘅 bug 只係喺某啲條件下有可能發生，但實際去驗證一下，就會發現呢個推論根本係錯，相信對方連 PoC 都無做就一口咬定有問題。呢個時候 Mr. Smith 即刻拎返份報告俾腦細，同佢講話驗證咗發現係錯㗎喎，言下之意自然係乜你無睇過啦？點估到佢又真係咁坦白，笑笑口認自己無特別 check，因為對方係龍頭大公司嘛！

講到尾名氣呢家嘢真係好虛幻，呢間大公司嘅本業已經係專做 cyber security，都可以出現呢啲失誤，更何況係其他半途出家嘅公司？其實有時候管理層根本唔 care 對方嘅實力，純粹都係搵個有公信力嘅公司簽名，之後即使有事無事，總之就唔關佢事。

所以話，外判好唔好，唔係靠彩數，點都要請返個識 cyber security 嘅人先得㗎！

相關文章：【Mr. Smith週記】做人上司唔好太 on cloud