在工作場所說“不”是一項非常有用的技能。

我只想告訴他，報告此類問題是您的責任，而且這種責任並不限於他的假期計劃。當然，您可以隨心所欲地發表該聲明，但要明確表示您認真對待自己的工作職責，並且不想因為他給他帶來的不便而推卸責任。

如果您將問題保密並予以解決，您的工作將面臨風險。他要您冒險保護自己免受傷害。他天生就把你放在這樣的位置上是錯誤的，也是不公平的，而且你不應該保守秘密。查找軟件問題是您的工作，並且不必擔心報告問題可能會對開發人員產生負面影響。報告的所有問題都可能對開發人員產生負面影響，尤其是較嚴重的問題。找到他們是您工作的全部原因。不要損害您的正直，以保護完全沒有問題的人將您扔下公車。

我的具體情況是我正在作為Web應用程序項目的測試人員，在進行了一些低級安全測試之後，我意識到該應用程序存在很多漏洞。我通常會在工作中舉報這些問題。

您已經在這裡回答了您的問題。從工作責任的角度來看，這是一個明確的決定，應該堅持下去，解決任何發現的問題是開發人員的工作。

但是，一位主要開發人員“懇求”我不要進一步探討這個問題，因為他擔心結果會改變他的度假計劃。

我猜這是休閒對話的一部分。好吧，那是夏天，安全審核是一個漫長而痛苦的過程，所以我完全了解您的同事來自哪裡。就是說，這是一個必要的過程，可能是緊急的過程，因為您已經發現了一些問題，並且開發人員做了所有事情，但完全承認還有其他問題。你們兩個之間的摩擦，那麼，現在可能是管理層進行干預的時候了。但是，我堅信團隊作為一個團隊會失敗，並且真的不喜歡指責遊戲。在您執行任何操作之前，您確實需要絕對確定您對某些事情的反應不是過度的，它只是一個隨意的，可能是幽默的評論，而不是您真正推遲或取消安全測試的請求。

除了其他回答說“不做這個”（我100％同意）之外，我還將建議採取更外交的途徑（這可能很棘手，可能無法在所有情況下都有效），因為有時候（但並非總是如此）是值得的：

假設這些發現不是在測試矩陣上的正式測試計劃的一部分，給“乞求”的人一個機會，讓他們自己做對。您可以告訴他們，直到 $ someDate （可能是他們的假期之後或之前），您才可以正式報告問題，具體取決於日期，時間，距離和距離。該日期是），但如果他想在此之前報告該問題，那麼他可以，而且您不會提出該問題。同時，我還建議向主管/團隊負責人發送一條消息，說您發現了一些潛在的問題，但您需要更多的時間進行測試，準備就緒後將發送詳細的報告。

這種策略使開發人員有機會保留一些面孔，並在可能不會破壞他們的計劃的時候進行報告（如果他們已經制定了長期計劃來探望家人，在遙遠的土地上，破壞那些計劃會很糟糕，但這並不是真正的您的問題-這是開發人員需要與管理層共同解決的問題），也可以使您免於保密。如果開發人員未按 $ someDate 報告，則發送報告。如果他們做報告，至少您仍然會因先發現 而獲得讚譽。

我不知道這些問題的本質。如果您認為這些漏洞當前可由任何隨機攻擊者利用，並且可以證明這一點的概念證明（在TEST計算機上，而不是生產環境中，而不會造成麻煩），則應立即進行報告，或讓開發人員立即報告（以您的測試數據作為證據-不要讓他相信您）。

想一想，如果發現您會遇到多大的麻煩知道了這個問題，什麼也沒說。

向您解釋在問題的生命週期中的作用

向開發人員解釋，儘早發現這些東西並先於找到它們是您的工作。

• 您做得好會使整個開發團隊在外部看起來都不錯。

• 您不工作會使每個人看起來無能，並且如果有人發現您知道一些嚴重的事情而沒有做，那麼您自己承擔所有風險。請及時報告。

如果您正在尋找中間立場，請提出妥協。

為開發者提供一個日期。在報告此問題之前先解決此問題。如果他們沒有在該日期之前解決問題，那麼您可以正式將其記錄為與經理的問題，並讓籌碼降到可能的最高水平。通過電子郵件進行交流，以便您可以適當地進行CYA。 不要拒絕在約定的截止日期之前報告問題

實用軼事

在SCRUM環境中，很多時候是嵌入式測試儀會找到一些東西，告訴開發人員，並且在測試人員可以將其歸檔到正式系統之前，它將得到修復。當他們這樣做時，開發人員可以標記為已解決，可以立即對其進行重新測試，並且可以大張旗鼓地關閉它。

（我個人只是記錄下該問題，回到工作上來，這是我避免像瘟疫那樣的辦公室政治！）

您應該盡快使問題變得可見！

您作為團隊的工作就是創建產品。您有一個確定優先重點的人員，這樣您就可以在第X天交付最好的產品。您可以為涉及到的每個人做的最好的事情是，將您發現的所有產品問題告知設置優先級的人員。這樣，他/她可以使團隊立即專注於最重要/最關鍵的事情，以避免在發布前夕工作。也許可以跳過“很好的功能”。

您無權“延遲報告”或類似的事情。您通過發現缺陷來幫助團隊，從而可以在對其造成任何損害之前將其修復，這是一項出色的工作。現在該由合適的人（在全局上最了解情況的人）來決定如何處理它了。

首先，您並沒有得到酬勞來讓這個男人開心。尋找漏洞是有報酬的，因此，在做有報酬的事情時絕對不會感到羞恥，而故意在這方面表現不佳是不誠實的。讓他知道您需要做工作，儘管這可能給他帶來不便。

第二，似乎暗示您的公司在某些情況下會向人們施加壓力，要求他們取消假期計劃。視情況而定，您應該鼓勵這個人與管理層交談並設法休假，或者在情況顯然不允許這樣做的時候訓斥他制定計劃。

這個人是可能遭受了破壞，而他需要做的最後一件事就是讓您對局勢保持謹慎。明確表示您不會將問題保密，然後表現出同情心；嘗試和他說一些解決他的困境。在適當的情況下，提請經理和/或他的經理注意該問題。考慮與管理人員開玩笑地“達成協議”，如果他們承諾不中斷已經制定的假期計劃，但您會公開此漏洞，但是不要對此認真對待，當然不要在任何情況下都不會實際上保留信息。您所處的位置非常獨特，可以幫助您解決這個問題；仔細考慮如何才能最好地幫助他 而不損害自己的職業道德。

您知道嗎，我將更進一步。您可以告訴管理層該漏洞。期。那是您的工作，這是非常重要的工作。

您真正的難題應該是是否告訴他們他希望掩蓋它，因為那是一堆嚴重的工程優先事項。畢竟，您首先怎麼知道他不知道這個問題？如果這是他第一次表現出這種行為，就給他一個讓他陷入困境的條件，以便給他一個現實檢查。

為您的假期計劃？忘記對漏洞進行保密。為什麼我不應該告訴他們我們的工程師的工作重點如此嚴重以至於它們代表著公司的持續責任，威脅著我們這裡所有的生計？”

但是，如果他以前像這樣拉東西，是時候讓管理層知道每個人受傷之前了。假期取消可以得到補償，計劃可以重新制定。這絕不是使所有人面臨風險的充分理由。

幾乎所有其他人都說，即使在幾分鐘之內，您也不應該掩蓋這種情況，特別是因為測試應用程序是您的工作……尤其是因為它是漏洞之類的嚴肅話題。由於您同事的要求是在個人層面上，您所能做的就是在我想達到的同等水平上幫助他們。如果此人非常值得幫助，以至於您考慮將他們的利益放在雇主之前，那麼您可以在可能的情況下自行解決他們的漏洞，以幫助他們。如果您不願意，則最好的辦法就是盡快告訴他們您將要報告此漏洞，以便他們可以找出問題並根據需要更改計劃。 。試想一下，如果您放任自流，那麼從職業中收回代碼後，代碼被修復的可能性有多大？

那是道德（而且很明顯）的部分，現在，現實世界的答案只是自己決定，如果您願意承擔責任並為這個傢伙賭博（絕對不值得），請考慮機會，這裡沒有人確切地知道工作場所的工作方式。

從您的問題聽起來，他不只是要求您將調查結果推遲到他休假之後，還要“避免”完全找到它們。這樣一來，您不僅使自己處於風險之中，還使整個公司（包括您的所有同事）面臨風險。發行帶有安全漏洞的軟件可能會損害公司的聲譽，無法修復。如果此人認為他的團隊的軟件不適合其目的，那麼他需要站起來，這樣-不要讓您陷入困境。

我會去找你的經理或董事，說你感到難過。您的處境非常糟糕。您已經發現了這些東西。但是您不想讓X陷入麻煩。但是您不想使用秘密。我真的不想惹X麻煩，該怎麼辦。

所以讓管理層來解決這個問題。這就是為什麼他們能賺大錢的原因。考慮到他們關心的全局以及此事與之的關係，他們通常更傾向於採取外交方式。就像管理層經常需要讓工人在沒有微觀管理的情況下做事一樣，工人也需要讓管理層在這件事上做事。