Mantan karyawan CrowdStrike: "Kontrol kualitas bukan bagian dari proses."

 (semafor.com)
1 poin oleh GN⁺ 2024-09-14 | 1 komentar | Bagikan ke WhatsApp
  • Para insinyur perangkat lunak CrowdStrike selama lebih dari setahun mengeluhkan kepada manajemen senior perusahaan tentang tenggat waktu yang dipersingkat, beban kerja berlebihan, dan meningkatnya masalah teknis
    • Insinyur Jeff Gardner: "Kecepatan adalah yang paling penting, dan kontrol kualitas bukan prioritas"
    • Dari 24 mantan karyawan, 10 diberhentikan dan 14 mengundurkan diri secara sukarela
    • Mantan karyawan Joey Victorino membantah dan mengatakan CrowdStrike menangani semuanya dengan sangat teliti
  • CrowdStrike membantah sebagian besar isi laporan Semafor dan menyebut para pemberi informasi sebagai "mantan karyawan yang menyimpan rasa tidak puas"
    • Perusahaan mengklaim sedang berupaya memastikan stabilitas produk melalui pengujian ketat dan kontrol kualitas
  • CrowdStrike didirikan pada 2011 dan setelah meluncurkan paket antivirus Falcon pada 2013, perusahaan ini cepat tumbuh menjadi pemimpin industri keamanan siber
    • Setelah melantai di bursa pada 2019, perusahaan terus mengalami pertumbuhan besar, jumlah karyawan meningkat, dan pada akhir tahun fiskal 2024 pendapatan naik lebih dari 1.000%
  • Pada bulan Juli, pembaruan perangkat lunak CrowdStrike yang keliru menyebabkan gangguan TI terbesar dalam sejarah
    • 8,5 juta komputer mengalami down, menyebabkan kerugian hingga $5,4 miliar bagi perusahaan Fortune 500
    • Penumpang di bandara terlantar, akun perbankan online tidak bisa diakses, dan pusat panggilan darurat menjadi offline

Masalah yang diangkat mantan karyawan

  • Pemeriksaan kualitas perangkat lunak kadang tidak memadai demi mempercepat peluncuran produk
  • Di divisi layanan profesional, data pribadi pelanggan tiga kali secara tidak sengaja diunggah ke folder pelanggan lain
  • Ada masalah pada layanan Falcon LogScale
    • Setidaknya dua kali, peringatan real-time tentang aktivitas berbahaya sempat mati akibat pembaruan yang salah
  • Peluncuran Falcon OverWatch Cloud Threat Hunting pada 2022, layanan cloud threat hunting, dipercepat
    • Insinyur dan threat hunter diperintahkan menyelesaikan pekerjaan yang biasanya memakan waktu satu tahun hanya dalam dua bulan
    • Saat peluncuran, threat hunter kekurangan alat internal yang digunakan untuk memantau sistem cloud pelanggan secara menyeluruh

Tanggapan CrowdStrike

  • Perusahaan mengakui menggunakan insinyur yang sudah ada, tetapi menjelaskan bahwa saat itu bidang "cloud threat hunter" sendiri belum ada sehingga tidak mungkin merekrut tenaga berpengalaman
  • CrowdStrike menyatakan klaim bahwa karyawan tidak dilatih untuk menjalankan tugas mereka adalah salah, dan pelatihan diberikan kepada siapa pun yang menginginkannya
  • Rangkaian produk OverWatch telah ada lebih dari 10 tahun dan terus ditingkatkan agar sesuai dengan ancaman dan kebutuhan pelanggan yang terus berkembang

Bacaan terkait

1 komentar

 
GN⁺ 2024-09-14
Komentar Hacker News

  • Agen CrowdStrike untuk Mac (Falcon) mengirim semua rahasia dalam bentuk plaintext dari variabel lingkungan ke SIEM yang di-host di cloud

    • Kredensial GitHub, AWS, dan lainnya dapat dicari
    • Hanya berlaku untuk versi Mac, dan tidak ada cara untuk menonaktifkan atau memperbaiki perilaku ini
    • Kemungkinan besar banyak rahasia plaintext milik pelanggan tersimpan di SIEM

  • Jeff Gardner mengklaim bahwa di CrowdStrike hanya kecepatan yang diprioritaskan dan pengendalian kualitas tidak dipertimbangkan

    • Sulit mempercayai pendapat mantan karyawan yang dipecat
    • Karyawan ini kemungkinan besar tidak terlibat dalam pengendalian kualitas karena berposisi sebagai desainer

  • Dari 24 mantan karyawan, 10 dipecat dan 14 mengundurkan diri secara sukarela

    • Beberapa mantan karyawan menyampaikan pandangan yang berbeda
    • Joey Victorino mengklaim bahwa CrowdStrike sangat teliti dalam semua pekerjaannya

  • Pendapat Jeff Gardner berasal dari sudut pandang seorang desainer UX

    • Kemungkinan tidak berkaitan dengan proses distribusi patch kernel

  • Infrastruktur perangkat lunak yang penting seharusnya diatur seperti infrastruktur fisik

    • Seperti gedung dan jembatan, perangkat lunak juga harus menjamin keandalannya melalui regulasi dan inspeksi

  • Tim yang menerapkan agen CrowdStrike mengalami masalah log

    • Daemon mencatat terlalu banyak log, tetapi tidak ada pengaturan untuk menghentikan atau menguranginya

  • Masalah budaya di CrowdStrike mirip dengan Knight Capital

    • Masalah budaya kecil dapat menyebabkan disfungsi di seluruh perusahaan

  • Dalam pengembangan perangkat lunak, pengendalian kualitas sering kali kurang

    • Banyak proyek dirilis terburu-buru tanpa pengujian yang memadai

  • Mulai muncul pemikiran tentang batas antara keberanian mengambil risiko dan mengejar sensasi

    • Pada titik tertentu, ini bisa jadi bukan lagi soal kemalasan atau disiplin, melainkan neurosis atau kecanduan

  • CrowdStrike membantah laporan Semafor

    • Mantan karyawan yang tidak puas mungkin berusaha membuat perusahaan terlihat buruk
    • Namun, tingkat kepercayaan terhadap CrowdStrike sangat rendah

  • Meskipun skenario terburuk telah terjadi, harga saham CrowdStrike masih terus naik

    • Menunjukkan kinerja yang melampaui S&P 500