Ontwikkelaars verantwoordelijk voor lekke software
Software ontwikkelaars moeten net als in de kledingindustrie hun produkten voorzien van een sticker waarop staat "goedgekeurd door", aldus Howard Schmidt, voormalig informatie security adviseur van George Bush, en nu hoofd security van eBay. Volgens Schmidt moeten ontwikkelaars hun klanten een redelijk niveau van zekerheid geven dat wat ze kopen veilig is. Een checklist met voorwaarden waar het produkt wel en niet aan voldoet moet hierbij helpen.
Zo'n systeem kan gebruikt worden om ontwikkelaars aan te pakken die het niet zo nauw met security nemen. Consequenties zouden bijvoorbeeld kunnen bestaan uit het niet betalen of vernieuwen van contracten.
"We moeten naar de bron van het probleem, en dat is het schrijven van veilige code. Bekende lekken zoals buffer overruns worden niet gevonden en verwijderd voordat ontwikkelaars de code verschepen" zegt Schmidt, die van mening is dat er geen excuus bestaat om code niet op security lekken te doorzoeken. Tools om dit te doen worden steeds beter en makkelijker te gebruiken. "Ik denk dat we het aantal lekken echt aan kunnen pakken".
Ook voor de overheid is hier een belangrijke rol weggelegd. Dankzij wetgeving kan men bedrijven verplichten om veiligere software af te leveren. Buitenlandse bedrijven zouden bijvoorbeeld al verplicht stellen dat security audits op aangeschafte software zijn uitgevoerd. (FCW)
en marketing maar eens een schop onder hun kont geven. Deze
mensen beloven klanten de wereld en stellen allerlei niet te
realiseren deadlines op.
Er wordt niet bij stil gestaan dat het schrijven van code
gewoon moeilijk is, dat software maken geen simpele business
is en dat programmeurs een veel lagere productiviteit hebben
(gemeten in regels code) dan aangenomen. We hebben hier
mensen die op een goede dag 100 regels code schrijven... en
dat zijn goede programmeurs is een secure omgeving ;-)
strakke deadlines maar wel veiligheid boven alles. Ben wel voorstander
van externe audits, maar betere en meer inherent veilige
ontwikkelmethoden zijn zeer belangrijk (minder low-level werken).
Ontwikkelaars? Laten we de mensen van de afdelingen verkoop
en marketing maar eens een schop onder hun kont geven. Deze
mensen beloven klanten de wereld en stellen allerlei niet te
realiseren deadlines op.
Er wordt niet bij stil gestaan dat het schrijven van code
gewoon moeilijk is, dat software maken geen simpele business
is en dat programmeurs een veel lagere productiviteit hebben
(gemeten in regels code) dan aangenomen. We hebben hier
mensen die op een goede dag 100 regels code schrijven... en
dat zijn goede programmeurs is een secure omgeving ;-)
Je hebt zeker een punt maar, een toolbar voor een browser
schrijven is niet heel moeilijk. Als zo een "simpel" stukje
software vol zit met fouten/gevaren dan mag je zo'n
onderneming daar HARD op aanspreken en maatregelen nemen.
betere en meer inherent veilige
ontwikkelmethoden zijn zeer belangrijk (minder low-level
werken).
programmeurs die erg goed in assembler programmeren en
programmeurs die vreselijk onveilig in C# programmeren (om
maar iets te noemen).
waarvan telkens maar weer blijkt dat het slecht in elkaar
zit. Als ik een telefoon koop die na een maand stuk is weet
ik zeker dat ik dat merk nooit meer neem. Waarom met
software wel?
Ontwikkelaars? Laten we de mensen van de afdelingen verkoop
en marketing maar eens een schop onder hun kont geven. Deze
mensen beloven klanten de wereld en stellen allerlei niet te
realiseren deadlines op.
Er wordt niet bij stil gestaan dat het schrijven van code
gewoon moeilijk is, dat software maken geen simpele business
is en dat programmeurs een veel lagere productiviteit hebben
(gemeten in regels code) dan aangenomen. We hebben hier
mensen die op een goede dag 100 regels code schrijven... en
dat zijn goede programmeurs is een secure omgeving ;-)
schrijven van de code, en je weet hoe de taal in elkaar
steekt, lijkt het me redelijk eenvoudig om code zonder
lekken te schrijven. Ik spreek uit ervaring en vind het
schrijven van code absoluut niet moeilijk. 100 regels code
op een dag is vrij weinig. Maar ik denk niet dat we moeten
vergeten dat er nog een heleboel zaken bij het echte
programmeren komen zoals documentatie, het doorpluizen van
libraries etcetera. Als je daardoor niet meer dan een kwart
van je tijd aan het echte programmeren toekomt, zou je best
wel eens aan die 100 regels code kunnen komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.