Nieuws

Ontwikkelaars verantwoordelijk voor lekke software

donderdag 1 september 2005, 10:33 door Redactie, 7 reacties

Software ontwikkelaars moeten net als in de kledingindustrie hun produkten voorzien van een sticker waarop staat "goedgekeurd door", aldus Howard Schmidt, voormalig informatie security adviseur van George Bush, en nu hoofd security van eBay. Volgens Schmidt moeten ontwikkelaars hun klanten een redelijk niveau van zekerheid geven dat wat ze kopen veilig is. Een checklist met voorwaarden waar het produkt wel en niet aan voldoet moet hierbij helpen.

Zo'n systeem kan gebruikt worden om ontwikkelaars aan te pakken die het niet zo nauw met security nemen. Consequenties zouden bijvoorbeeld kunnen bestaan uit het niet betalen of vernieuwen van contracten.

"We moeten naar de bron van het probleem, en dat is het schrijven van veilige code. Bekende lekken zoals buffer overruns worden niet gevonden en verwijderd voordat ontwikkelaars de code verschepen" zegt Schmidt, die van mening is dat er geen excuus bestaat om code niet op security lekken te doorzoeken. Tools om dit te doen worden steeds beter en makkelijker te gebruiken. "Ik denk dat we het aantal lekken echt aan kunnen pakken".

Ook voor de overheid is hier een belangrijke rol weggelegd. Dankzij wetgeving kan men bedrijven verplichten om veiligere software af te leveren. Buitenlandse bedrijven zouden bijvoorbeeld al verplicht stellen dat security audits op aangeschafte software zijn uitgevoerd. (FCW)

Beta Microsoft's anti-phishing filter alleen voor Amerikanen

Online oplichters "collecteren" voor slachtoffers Katrina

Reacties (7)

01-09-2005, 10:59 door Anoniem

Ontwikkelaars? Laten we de mensen van de afdelingen verkoop
en marketing maar eens een schop onder hun kont geven. Deze
mensen beloven klanten de wereld en stellen allerlei niet te
realiseren deadlines op.

Er wordt niet bij stil gestaan dat het schrijven van code
gewoon moeilijk is, dat software maken geen simpele business
is en dat programmeurs een veel lagere productiviteit hebben
(gemeten in regels code) dan aangenomen. We hebben hier
mensen die op een goede dag 100 regels code schrijven... en
dat zijn goede programmeurs is een secure omgeving ;-)

01-09-2005, 12:02 door Anoniem

Misschien moeten we een voorbeeld nemen aan de vliegtuigindustie. Ook
strakke deadlines maar wel veiligheid boven alles. Ben wel voorstander
van externe audits, maar betere en meer inherent veilige
ontwikkelmethoden zijn zeer belangrijk (minder low-level werken).

01-09-2005, 13:21 door Anoniem

Door Anoniem
Ontwikkelaars? Laten we de mensen van de afdelingen verkoop
en marketing maar eens een schop onder hun kont geven. Deze
mensen beloven klanten de wereld en stellen allerlei niet te
realiseren deadlines op.

Er wordt niet bij stil gestaan dat het schrijven van code
gewoon moeilijk is, dat software maken geen simpele business
is en dat programmeurs een veel lagere productiviteit hebben
(gemeten in regels code) dan aangenomen. We hebben hier
mensen die op een goede dag 100 regels code schrijven... en
dat zijn goede programmeurs is een secure omgeving ;-)

Je hebt zeker een punt maar, een toolbar voor een browser
schrijven is niet heel moeilijk. Als zo een "simpel" stukje
software vol zit met fouten/gevaren dan mag je zo'n
onderneming daar HARD op aanspreken en maatregelen nemen.

01-09-2005, 13:28 door Anoniem

Door Anoniem
betere en meer inherent veilige
ontwikkelmethoden zijn zeer belangrijk (minder low-level
werken).

En dat heeft dus geen drol met low-level te maken. Ik ken
programmeurs die erg goed in assembler programmeren en
programmeurs die vreselijk onveilig in C# programmeren (om
maar iets te noemen).

02-09-2005, 00:21 door Anoniem

Het is gewoon raar dat mensen software blijven afnemen
waarvan telkens maar weer blijkt dat het slecht in elkaar
zit. Als ik een telefoon koop die na een maand stuk is weet
ik zeker dat ik dat merk nooit meer neem. Waarom met
software wel?

02-09-2005, 01:18 door Anoniem

Onzin, als je een aantal zaken in je hoofd houdt bij het
schrijven van de code, en je weet hoe de taal in elkaar
steekt, lijkt het me redelijk eenvoudig om code zonder
lekken te schrijven. Ik spreek uit ervaring en vind het
schrijven van code absoluut niet moeilijk. 100 regels code
op een dag is vrij weinig. Maar ik denk niet dat we moeten
vergeten dat er nog een heleboel zaken bij het echte
programmeren komen zoals documentatie, het doorpluizen van
libraries etcetera. Als je daardoor niet meer dan een kwart
van je tijd aan het echte programmeren toekomt, zou je best
wel eens aan die 100 regels code kunnen komen.

02-09-2005, 10:28 door Anoniem

lijkt het me redelijk eenvoudig om code zonder lekken
te schrijven

ik zou snel een bedrijf starten dan of je zelf verhuren,
want iemand die code zonder lekken kan schrijven lijkt me
erg gewild. alle code he, niet alleen een simpel hello world
progje.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer