"Programmeur persoonlijk aansprakelijk voor security lekken"
Als het aan security expert Howard Schmidt ligt worden programmeurs persoonlijk aansprakelijk voor security lekken in hun software. Andere experts zijn echter van mening dat de werkgever nog altijd deze last moet dragen. De voormalige cybersecurity adviseur van het Witte Huis liet gisteren weten dat programmeurs zelf verantwoordelijk zijn voor slecht programmeerwerk. Ook moeten ontwikkelaars betere training krijgen, want veel hebben niet de vaardigheid om veilig te programmeren.
"Bij software ontwikkeling moeten we de persoonlijke garantie van de ontwikkelaar hebben dat de code die hij schrijft veilig is" liet Schmidt tijdens de Secure London 2005 conferentie weten.
De Britse Computing Society (BCS) was het ermee eens dat partijen voor het schrijven van software aansprakelijk gehouden moeten kunnen worden, maar dit zouden dan de bedrijven moeten zijn, en niet de werknemers die in dienst van een werkgever programmeren.
"Howard gaat wel erg ver door te zeggen dat software ontwikkelaars persoonlijk aansprakelijk zijn voor de veiligheid van de code die ze schrijven, maar we zijn het wel eens met de richting die hij opgaat. Ik ken veel programmeurs die het niet fijn zouden vinden om op zo'n niveau aansprakelijk te zijn. Het is de verantwoordelijkheid van een bedrijf om ervoor te zorgen dat alle security features van haar software goed getest zijn" aldus een woordvoerder van de BCS.
programmeurs vaak "short-cuts" moeten nemen omdat marketing
al een release date heeft vastgesteld. Onder druk van
marketing wordt er dan snel iets in elkaar gedraaid omdat er
niet genoeg tijd is om het goed te doen. Wordt marketing in
zo'n geval dan verantwoordelijk gehouden?
maken. Daar kan een enkele programmeur nooit
verantwoordelijk zijn voor een fout. Er zijn ook ontwerpers
en testers betrokken. Tevens zouden reviews door mede
programmeurs de risico's moeten verkleinen.
Maar uiteindelijk is het management verantwoordelijk voor
wat er de deur uit gaat.
doorkomen zullen vele programmeurs zich laten omscholen.
Het is namelijk nog steeds het bedrijf dat uiteindelijk zegt
:'Ja. . leg deze versie maar in de winkel'. . en als dan
achteraf blijft dat een programmeur een veiligheidslek heeft
geprogrammeerd, heeft de testafdeling van het bedrijf zijn
werk niet gedaan. In het algemeen is een middel/groot
bedrijf een combinatie van veel factoren, en daarom kun je
nooit een individu aanpakken op een fout.
right, als hij dit zegt begin ik erg te twijfelen aan de
capabilities van deze meneer.
dus als de software designer met zijn ontwerp aan komt
zetten waar een security hole in zit dan is volgens hem de
programmeur die dit stukje moet bouwen de lul als iemand
misbruik maakt van deze design flaw.
uhuh... dus das het zelfde als een fabrieks medewerker die
de wielophanging moet monteren persoonlijk verantwoordelijk
kan worden gesteld voor een design fout in diezelfde wiel
ophanging...
komen maar het word meer en meer onzin wat jullie posten.
Dit slaat toch helemaal nergens op! Ik weet niet wie die
Howard Schmidt zou moeten zijn maar verstand van
programmeren heeft hij zeker niet! Wat een compleet onzin
artikel zeg. Probeer in de toekomst eens artikelen van een
iets hoger niveau te posten redactie...
Correct Nederlands is: ...het wordt...
Bovendien is de zin incorrect: het klinkt beter als men schrijft:
Ik weet niet hoe jullie de laatste tijd aan deze artikelen komen, maar er wordt steeds meer onzin beweerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
