Eski CrowdStrike çalışanları: "Kalite kontrol sürecin bir parçası değildi."

 (semafor.com)
1 puan yazan GN⁺ 2024-09-14 | 1 yorum | WhatsApp'ta paylaş
  • CrowdStrike yazılım mühendisleri, bir yıldan uzun süre boyunca şirketin üst düzey yöneticilerine daha kısa teslim tarihleri, aşırı iş yükü ve artan teknik sorunlar konusunda şikâyette bulundu
    • Mühendis Jeff Gardner: "Hız en önemli şeydi ve kalite kontrol bir öncelik değildi"
    • 24 eski çalışanın 10'u işten çıkarıldı, 14'ü ise kendi isteğiyle ayrıldı
    • Eski çalışan Joey Victorino ise CrowdStrike'ın her şeyi titizlikle ele aldığını söyleyerek buna karşı çıktı
  • CrowdStrike, Semafor haberindeki iddiaların büyük bölümünü reddetti ve kaynakları "memnuniyetsiz eski çalışanlar" olarak nitelendirdi
    • Şirket, sıkı testler ve kalite kontrol yoluyla ürün istikrarını sağlamaya çalıştığını savundu
  • CrowdStrike, 2011'de kuruldu ve 2013'te Falcon antivirüs paketini çıkardıktan sonra siber güvenlik sektöründe hızla lider konuma yükseldi
    • 2019'daki halka arzın ardından büyük ölçekli büyümesini sürdürdü; çalışan sayısı arttı ve 2024 mali yılının sonunda gelir %1.000'in üzerinde artmıştı
  • Temmuz ayında CrowdStrike'ın hatalı yazılım güncellemesi, tarihteki en büyük BT kesintisine yol açtı
    • 8,5 milyon bilgisayar çöktü ve Fortune 500 şirketlerine toplamda 5,4 milyar dolara kadar zarar verdi
    • Havalimanlarında yolcular mahsur kaldı, çevrimiçi bankacılık hesaplarına erişilemedi ve acil çağrı merkezleri çevrimdışı kaldı

Eski çalışanların gündeme getirdiği sorunlar

  • Ürünleri piyasaya daha hızlı sürmek için zaman zaman yazılım kalite kontrolleri yetersiz kaldı
  • Profesyonel hizmetler biriminde, müşterilerin kişisel bilgilerinin yanlışlıkla başka müşterilerin klasörlerine üç kez yüklendiği olaylar yaşandı
  • Falcon LogScale hizmetinde sorunlar vardı
    • Hatalı güncellemeler nedeniyle kötü niyetli faaliyetleri bildiren gerçek zamanlı uyarıların en az iki kez geçici olarak devre dışı kaldığı belirtildi
  • 2022'de bulut tehdit avcılığı hizmeti Falcon OverWatch Cloud Threat Hunting'in lansmanı aceleye getirildi
    • Mühendislere ve tehdit avcılarına normalde bir yıl sürecek işi iki ay içinde bitirmeleri söylendi
    • Lansman sırasında, tehdit avcılarının müşterilerin bulut sistemlerini tam olarak izlemek için kullandığı dahili araçlar eksikti

CrowdStrike'ın yanıtı

  • Şirket, mevcut mühendisleri kullandığını kabul etti ancak o dönemde "bulut tehdit avcısı" diye bir alanın henüz var olmadığını, bu yüzden deneyimli personel işe almanın mümkün olmadığını söyledi
  • Çalışanların görevlerini yerine getirebilmeleri için eğitim almadığı yönündeki iddiaların yanlış olduğunu, isteyenlere eğitim verildiğini belirtti
  • OverWatch ürün ailesinin 10 yıldan uzun süredir var olduğunu ve müşterilerin değişen tehditleri ile ihtiyaçlarına göre sürekli geliştirildiğini ifade etti

İlgili okumalar

1 yorum

 
GN⁺ 2024-09-14
Hacker News görüşleri

  • CrowdStrike Mac ajanı (Falcon), ortam değişkenlerindeki tüm gizli bilgileri düz metin olarak bulutta barındırılan SIEM'e gönderiyor

    • GitHub, AWS vb. kimlik bilgileri aranabiliyor
    • Yalnızca Mac sürümü etkileniyor ve bu davranışı devre dışı bırakmanın veya düzeltmenin bir yolu yok
    • Müşterilere ait çok sayıda düz metin gizli bilginin SIEM'de saklanıyor olması muhtemel

  • Jeff Gardner, CrowdStrike'ta yalnızca hızın önemsendiğini ve kalite güvencesinin dikkate alınmadığını öne sürüyor

    • İşten çıkarılmış eski çalışanların görüşlerine güvenmek zor
    • Bu çalışanın bir tasarımcı olarak kalite güvencesine dahil olmamış olması muhtemel

  • 24 eski çalışanın 10'u işten çıkarıldı, 14'ü ise kendi isteğiyle ayrıldı

    • Bazı eski çalışanlar farklı görüşler dile getiriyor
    • Joey Victorino, CrowdStrike'ın her işte titiz davrandığını öne sürüyor

  • Jeff Gardner'ın görüşü, bir UX tasarımcısının bakış açısından geliyor

    • Çekirdek yaması dağıtım süreciyle ilgili olmaması muhtemel

  • Kritik yazılım altyapısı, fiziksel altyapı gibi düzenlenmeli

    • Binalar ve köprülerde olduğu gibi yazılım da düzenleme ve denetimle güvenilir hâle getirilmeli

  • CrowdStrike ajanını dağıtan ekipte log sorunları yaşandı

    • Daemon çok fazla log yazıyor ama bunu durduracak veya azaltacak bir ayar yok

  • CrowdStrike'ın kültür sorunu, Knight Capital'e benziyor

    • Küçük kültürel sorunlar, şirket genelinde işlev bozukluğuna yol açıyor

  • Yazılım geliştirmede kalite güvencesi çoğu zaman yetersiz kalıyor

    • Birçok proje yeterince test edilmeden aceleyle yayımlanıyor

  • Risk alma ile heyecan arayışı arasındaki sınır üzerine düşünmeye başlanıyor

    • Bir noktadan sonra bu, tembellik ya da disiplin sorunu değil; nevroz veya bağımlılık olabilir

  • CrowdStrike, Semafor'un haberini reddediyor

    • Memnuniyetsiz eski çalışanlar şirketi kötü göstermek istiyor olabilir
    • Ancak CrowdStrike'ın güvenilirliği çok düşük

  • En kötü durum yaşanmış olmasına rağmen CrowdStrike hissesi hâlâ yükseliyor

    • S&P 500'ü geride bırakan bir performans gösteriyor