Be More Cautious on a Project

Akhir-akhir ini gwe lebih berhati-hati dalam mengikuti sebuah projekt. Kapok bow. Dulu sih gwe berprinsip, nekat aja karena dengan ngambil proyek berarti kita nambah koneksi. Tapi karena sekarang sudah cukup lah koneksi gwe, maka sekarang lebih selektif lagi. Lha sekarang itu rata-rata bisa dihubungi oleh lima calon klien dalam satu bulan. Inget lho ya, dihubungi, bukan gwe yang nyari hehehe. Kalau gwe ngga kerja sih gwe bisa aja nekat ngambil semua. Tapi karena beban kerja DAN kuliah, akhirnya ya rata-rata gwe ambil satu aja tiap bulan.

Nah, akhir-akhir ini nilai projektnya makin meningkat. Lumayan lah hihihi. Sekarang Cyro sedang ngejar proyek e-school. Lumayan 9 digit rupiah. Tapi ndak tahu nieh dulu kita sudah juklak (penunjukan langsung), tapi koq ya sekarang jadi tender tho.

Trus ada lagi projekt, dimana gwe ditunjuk langsung buat ngehandle sebuah proyek government. Ya gwe tanya-tanya ke resources gwe, dan ternyata memang lagi hot nieh proyek, karena ada dua perusahaan yang gwe tahu juga lagi ngejar nieh proyek.

Di dua perusahaan tersebut, mereka menagihnya antara 400 s/d 500 juta, karena sistemnya lumayan rumit, sebuah document flow gitu deh. Software yang disarankan sih Lotus Domino, dimana beli licensenya saja 70 juta.

Tapi ternyata gwe ndak jadi ditunjuk langsung. Perusahaan itu yang bakalan ngehandle, dan gwe diajak jadi team member. Mrk mo ngembanginnya pakai PHP, dan cost-nya ditekan sampai 250 jutaan. Weh gwe mah ogah. Masalahnya bukan karena harganya yang dipotong, toh gwe kalo di tunjuk langsung rencananya cuma mo ngambil 30 jt (hehehe, bukan cuma yah :P), tapi lebih ke karena PHP-nya. Entah kenapa untuk proyek ini gwe ngga pede kalau pakai PHP. Lha gimana engga, dokumen hard-copy-nya itu ada di ruang bawah tanah yang luas, dengan dokumen sampai setua tahun 1950an. Gwe ndak pede aja kalau pakai PHP, apalagi document flow itu mah makanannya Lotus Domino. Kalau pakai PHP seperti kerja dari nol lagi.

Jadi gini, gwe ceritain dikit tentang Lotus Domino. Lotus Domino itu adalah seperti software manajemen dokumen, tanpa ada DBMS. Jadi meta datanya di attach di dokumen tersebut. Flow-nya ya misalnya dari pelaksana dikirim ke pimpinan itu flownya tinggal diarahin saja, ndak perlu bikin hard-code atau apa gitu. Asyiknya lagi, kalau pimpinan itu trus ngubah settingannya jadi semua dokumen harus lewat sekretarisnya sebelum bisa ke dia, on the fly, bisa saja. Semudah itu. Ndak perlu ada perubahan drastis dari sisi code. Juga, dokumen itu tidak bisa dibuka oleh siapa pun kecuali yang berhak, bahkan administrator, jadi dari sisi security sudah cukup tinggi.

Ingat, dalam security harus ada The C.I.A Triad yang ditekankan, Confidentiality, Integrity, Availability. Confidentiality ya kerahasiaan dokumen. Masalahnya kalau dalam PHP, dokumen disimpan dalam bentuk file biasa. Atau kalau sedikit nekat, disimpan dalam database semisal Oracle (Walau entah harus berapa giga memorynya kalau disimpan di dalam database). Toh disimpan di database pun sang sysadmin bisa hura-hura akses sistemnya. Nah kalau bisa akses sistem, maka integritynya bisa di compromised. Dokumen bisa diutak-atik dan dimanipulasi.

Hehehe, kebanyakan baca buku security ya jadi gini jadinya :P Ya intinya sih kemarin ditawarin lagi dan gwe say no again. Gwe ngga mau pusing nantinya gara-gara masalah security yang compromised. Yah lihat saja nanti, kali gwe bisa jadi QA-nya, karena gwe suka nyoba-nyoba mengattack atau injection hihihihi. Peserta gwe saja gwe ajarin SQL injection kalau training Oracle, MySql FP atau PHP-MySQL. Bukannya ngajarin yang engga-engga, tapi khan kalau tahu bisa ngerti cara ngehindarinnya. Untung PHP sekarang magic_quotes_gpc sudah dienforce selalu on hehehe, jadi injection menjadi tambah sulit :P.

Connected links: