Cựu nhân viên CrowdStrike: "Kiểm soát chất lượng không phải là một phần của quy trình."

 (semafor.com)
1 điểm bởi GN⁺ 2024-09-14 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các kỹ sư phần mềm của CrowdStrike đã phàn nàn với các quản lý cấp cao của công ty trong hơn một năm về việc rút ngắn thời hạn, khối lượng công việc quá mức và các vấn đề kỹ thuật gia tăng
    • Kỹ sư Jeff Gardner: "Tốc độ là yếu tố quan trọng nhất, còn kiểm soát chất lượng không phải là ưu tiên"
    • Trong số 24 cựu nhân viên, 10 người bị sa thải và 14 người tự nguyện nghỉ việc
    • Cựu nhân viên Joey Victorino bác bỏ điều này, cho rằng CrowdStrike đã xử lý mọi thứ một cách kỹ lưỡng
  • CrowdStrike phủ nhận phần lớn nội dung trong bài báo của Semafor và gọi các nguồn tin là "những cựu nhân viên bất mãn"
    • Công ty khẳng định họ đang nỗ lực bảo đảm độ ổn định của sản phẩm thông qua kiểm thử nghiêm ngặt và kiểm soát chất lượng
  • CrowdStrike được thành lập năm 2011 và nhanh chóng phát triển thành công ty dẫn đầu ngành an ninh mạng sau khi ra mắt bộ phần mềm diệt virus Falcon vào năm 2013
    • Sau khi niêm yết năm 2019, công ty tiếp tục tăng trưởng mạnh, số lượng nhân viên tăng lên, doanh thu vào cuối năm tài khóa 2024 tăng hơn 1.000%
  • Bản cập nhật phần mềm lỗi của CrowdStrike vào tháng 7 đã gây ra sự cố CNTT lớn nhất trong lịch sử
    • 8,5 triệu máy tính bị sập, gây thiệt hại tới 5,4 tỷ USD cho các công ty trong Fortune 500
    • Hành khách tại sân bay bị mắc kẹt, không thể truy cập tài khoản ngân hàng trực tuyến, và các tổng đài khẩn cấp bị ngừng hoạt động

Những vấn đề mà cựu nhân viên nêu ra

  • Để đẩy nhanh việc phát hành sản phẩm, đôi khi việc kiểm tra chất lượng phần mềm bị làm sơ sài
  • Tại bộ phận dịch vụ chuyên nghiệp, đã xảy ra ba lần dữ liệu cá nhân của khách hàng bị tải nhầm vào thư mục của khách hàng khác
  • Dịch vụ Falcon LogScale từng gặp sự cố
    • Ít nhất hai lần, các cảnh báo thời gian thực về hoạt động độc hại đã tạm thời bị tắt do một bản cập nhật sai
  • Việc ra mắt dịch vụ săn tìm mối đe dọa đám mây Falcon OverWatch Cloud Threat Hunting vào năm 2022 đã bị thúc ép quá nhanh
    • Các kỹ sư và chuyên gia săn tìm mối đe dọa được yêu cầu hoàn thành trong hai tháng một công việc bình thường mất một năm
    • Khi ra mắt, các chuyên gia săn tìm mối đe dọa còn thiếu công cụ nội bộ để giám sát đầy đủ hệ thống đám mây của khách hàng

Phản hồi của CrowdStrike

  • Công ty thừa nhận đã sử dụng các kỹ sư hiện có, nhưng giải thích rằng vào thời điểm đó chưa hề tồn tại lĩnh vực "thợ săn mối đe dọa đám mây", nên không thể tuyển được nhân lực có kinh nghiệm
  • Công ty cho biết cáo buộc rằng nhân viên không được đào tạo để làm việc là sai sự thật, và rằng bất kỳ ai muốn đều được cung cấp đào tạo
  • Dòng sản phẩm OverWatch đã tồn tại hơn 10 năm và đang liên tục được cải tiến để đáp ứng các mối đe dọa và nhu cầu ngày càng thay đổi của khách hàng

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-09-14
Ý kiến Hacker News

  • Tác nhân CrowdStrike trên Mac (Falcon) gửi mọi bí mật trong biến môi trường dưới dạng văn bản thuần tới SIEM được lưu trữ trên đám mây

    • Có thể tìm kiếm thông tin xác thực của GitHub, AWS, v.v.
    • Chỉ áp dụng cho phiên bản Mac, và không có cách nào để tắt hoặc khắc phục hành vi này
    • Có khả năng rất nhiều bí mật dạng văn bản thuần của khách hàng đang được lưu trong SIEM

  • Jeff Gardner cho rằng tại CrowdStrike chỉ có tốc độ là quan trọng, còn kiểm soát chất lượng không được xem xét

    • Ý kiến của một cựu nhân viên bị sa thải khó có thể tin cậy
    • Nhân viên này có thể là nhà thiết kế nên không tham gia vào kiểm soát chất lượng

  • Trong số 24 cựu nhân viên, 10 người bị sa thải và 14 người tự nguyện nghỉ việc

    • Một số cựu nhân viên đưa ra quan điểm khác
    • Joey Victorino cho rằng CrowdStrike rất kỹ lưỡng trong mọi công việc

  • Ý kiến của Jeff Gardner xuất phát từ góc nhìn của một nhà thiết kế UX

    • Có thể không liên quan đến quy trình triển khai bản vá kernel

  • Hạ tầng phần mềm quan trọng nên được quản lý như hạ tầng vật lý

    • Giống như các tòa nhà và cây cầu, phần mềm cũng cần có quy định và kiểm tra để bảo đảm độ tin cậy

  • Đội đã triển khai tác nhân CrowdStrike gặp vấn đề về log

    • Daemon ghi rất nhiều log nhưng không có thiết lập nào để dừng hoặc giảm bớt việc này

  • Vấn đề văn hóa của CrowdStrike tương tự Knight Capital

    • Một vấn đề văn hóa nhỏ có thể dẫn đến rối loạn chức năng trên toàn công ty

  • Trong phát triển phần mềm, kiểm soát chất lượng thường bị thiếu

    • Nhiều dự án không được kiểm thử đầy đủ mà vẫn vội vàng phát hành

  • Bắt đầu suy nghĩ về ranh giới giữa chấp nhận rủi ro và theo đuổi cảm giác mạnh

    • Từ một thời điểm nào đó, đó có thể không còn là vấn đề lười biếng hay kỷ luật, mà trở thành chứng loạn thần kinh hoặc nghiện

  • CrowdStrike bác bỏ bài đưa tin của Semafor

    • Các cựu nhân viên bất mãn có thể khiến công ty trông tệ hơn
    • Nhưng mức độ tin cậy của CrowdStrike là rất thấp

  • Mặc dù tình huống tồi tệ nhất đã xảy ra, giá cổ phiếu CrowdStrike vẫn tiếp tục tăng

    • Hiệu suất vượt qua S&P 500