Форд не пройдёт? К посту про "платить устранителям уязвимостей только за отдых" было много комментариев. Сразу скажу, что пост был шуточным. Вопрос мотивации персонала слишком тонкий, чтобы всерьёз лезть туда с рекомендациями. 🙂

Но возражения разберу:

🔻 IT-шники будут саботировать процесс детектирования уязвимостей, подкручивая конфиги хостов. Так, чтобы сканер всегда показывал зелёненькое. Но IT-шники и сейчас могут так делать. 🤷‍♂️ И да, нужно учитывать возможность подобного саботажа.

🔻IT-шники будут просто выключать хосты. Eсли они могут так сделать без ущерба для бизнеса, то и замечательно. 👍 А если этим положат прод, то пусть решают это со своим IT-шным начальством. 😏

🔻 Алексей Лукацкий метод одобрил (❗️), но с оговоркой, что устранять нужно только 2% уязвимостей используемых в цепочках атак. Я с возможностью надёжного отделения этих мифических 2% уязвимостей традиционно НЕ соглашусь (см. Уязвимости Шрёдингера). Устранять нужно всё. 😉

Устранение Уязвимостей по "методу Форда". В Рунете популярна байка про Генри Форда. Якобы на его заводе проводился эксперимент: ремонтникам конвейера платили только за время, когда они находились в комнате отдыха. А как только конвейер вставал 🚨 и ремонтники отправлялись его чинить, им платить переставали. Поэтому делали они свою работу очень быстро и качественно, чтобы поскорее (и надолго) вернуться в комнату отдыха и им снова начала капать денежка. 👷‍♂️🪙

Надёжных подтверждений этому я не нашел, поэтому не думаю, что такой эксперимент действительно проводился. Байка. 🤷‍♂️

Но вообще интересно, а вот если бы специалистам ответственным за устранение уязвимостей платили бы только за время, когда на их хостах уязвимости не детектируются. 🤔 Вполне вероятно, что это весьма позитивно сказалось бы на скорости и качестве устранения. Нерешаемые проблемы очень быстро стали бы решаемыми, а автоматизация процесса тестирования и накатки обновлений получила бы бурное развитие. 😏