Microsoft: Eerste stap naar veilige software is zelfkennis
Windows Vista bevat meer regels code dan XP, dus zou het logisch zijn dat er meer beveiligingslekken in het nieuwe OS worden gevonden, toch is dat niet het geval omdat Microsoft naar eigen zeggen over zelfkennis beschikt. Microsoft zag dat het haar software beter moest beveiligen en zo werd de Security Development Lifecycle (SDL) geboren, met als gevolg veiligere producten, aldus Microsoft securitychef Michael Howard.
"Je verbetert security door je te richten op security. Niet door te dromen en niet te geloven in oude mythen dat als er maar genoeg mensen naar je software kijken er meer problemen worden gevonden. Als dit mantra zou kloppen, dan zouden er maar weinig beveiligingslekken in open source aanwezig zijn. Er zijn echter voldoende lekken in open source programma's gevonden."
Howard reageert naar aanleiding van het omstreden rapport van Jeff Jones, waaruit zou blijken dat Windows Vista van alle populaire besturingssystemen met de minste beveiligingsproblemen heeft te maken. Critici vonden dat de vergelijking niet klopte, omdat bij deze systemen ook andere programma's werden meegeteld. "Het kan mij niet schelen hoe groot een Linux distro is of hoeveel IM clients in Ubuntu zitten. Het zijn gewoon veel beveiligingslekken. Niemand hoor je erover dat deze problemen verholpen moeten worden. Ik hoor alleen maar emotie, excuses en dogma's."
Volgens Howard wordt het de hoogste tijd dat ook de concurrentie toegeeft dat het beveiligingsproblemen heeft en ook eens vorderingen gaat maken, aangezien het vergelijken van cijfers niet opschiet.
toegeeft dat het beveiligingsproblemen heeft en ook eens vorderingen
gaat maken, aangezien het vergelijken van cijfers niet opschiet.
I would love to see others in the industry stand up and admit there is a
problem that needs solving and start doing something about it. I really,
really would, because we need to secure the entire computing ecosystem.
Comparing numbers is interesting, but what really matters is this: is
progress being made?
Ik ben geen MS fanboy, en er staan ook dingen in het artikel waar ik het
minder mee eens ben, maar de kern van zijn verhaal is natuurlijk helemala
niet verkeerd.
Hij heeft het ook over het niet kunnen vergelijken van MS, Apple, Linux,
BSD, en de rest, maar blijft wel telkens zelf terug komen op vergelijkingen
met anderen. Dat vind ik een beetje jammer.
verbeterd en er zijn mooie security sessies geweest en er is veel te vinden
over veilig werken en programmeren
Maar was het niet howard schmidt dat een groot deel van de ontwikkelaars
niet goed opgeleid was m.b.t. beveiliging?
En dat een groot deel vd ontwikkelaars (70%) geen garanties konden
geven dat ze veilig programmeerden?
Dream on ..mensen verander je niet zomaar.
Vista sp1 ..was dat niet ff stop gezet?
Er blijven altijd gaten over zolang er mensenhanden aan gezeten hebben.
Ontonkomenlijk...murphy rulez.
Het is gewoonweg lachwekkend dat als de hoeveelheid toeneemt de
fouten niet zouden toenemen.
Vroeger, ...je weet wel toen je nog knap was...noemden we het bugs.
afhankelijk van de grillen van de leverancier of hij bereid is om wat te doen
aan geconstateerde gebreken, en mochten er patches gemaakt worden,
wanneer dan wel? Tot slot wordt er in het beste geval ooit in de toekomst
een patch geleverd die zogenaamd het probleem moet oplossen, maar
aangezien de code nog steeds gesloten is, weet je dus niet wat er precies
verandert is. Uberhaupt is het een idioot idee om bedrijfen lukraak elke
code te laten mogen uitvoeren op jouw hardware waar jouw data op staat.
Je hebt 0,0 % garantie dat de proprietary software slechts datgene doet
wat jij vind/denkt/"bent overeengekomen" wat het doet.
Dus zoals ik het bekijk is "closed software" per definite een
beveiligingsrisico.
Groeten,
Sem
Allemaal mooi en aardig, maar zolang source-code gesloten
is, blijf je
afhankelijk van de grillen van de leverancier of hij bereid
is om wat te doen
aan geconstateerde gebreken, en mochten er patches gemaakt
worden,
wanneer dan wel? Tot slot wordt er in het beste geval ooit
in de toekomst
een patch geleverd die zogenaamd het probleem moet oplossen,
maar
aangezien de code nog steeds gesloten is, weet je dus niet
wat er precies
verandert is. Uberhaupt is het een idioot idee om bedrijfen
lukraak elke
code te laten mogen uitvoeren op jouw hardware waar jouw
data op staat.
Je hebt 0,0 % garantie dat de proprietary software slechts
datgene doet
wat jij vind/denkt/"bent overeengekomen" wat het doet.
Dus zoals ik het bekijk is "closed software" per
definite een
beveiligingsrisico.
Groeten,
Sem
Hear hear !!!
daar hebben ze bij M$ nooit van gehoord.
definitie een beveiligings risco is dat is natuurlijk puur onzin als je dat zou
afzetten dat open source software per definitie veilig is.
Het hangt denk ik alle twee een beetje in het midden. Het heeft alle twee
zijn pro's en con's.
gezien, en beginnen de eerste bijbehirende arrogante trekjes
te vertonen.
Het betekent in elk geval dat ze op de goede weg zijn, en
zich dat ook bewust zijn.
However, van harte! :)
Allemaal mooi en aardig, maar zolang source-code gesloten is, blijf je
afhankelijk van de grillen van de leverancier of hij bereid is om wat te doen
aan geconstateerde gebreken, en mochten er patches gemaakt worden,
wanneer dan wel? Tot slot wordt er in het beste geval ooit in de toekomst
een patch geleverd die zogenaamd het probleem moet oplossen, maar
aangezien de code nog steeds gesloten is, weet je dus niet wat er precies
verandert is. Uberhaupt is het een idioot idee om bedrijfen lukraak elke
code te laten mogen uitvoeren op jouw hardware waar jouw data op staat.
Je hebt 0,0 % garantie dat de proprietary software slechts datgene doet
wat jij vind/denkt/"bent overeengekomen" wat het doet.
Dus zoals ik het bekijk is "closed software" per definite een
beveiligingsrisico.
Groeten,
Sem
Het is jouw zin. Vervolgens trek je de conclusie, dat closed software per
definitie een beveiligingsrisico is.
Sommigen zijn het met je eens. Maar als ik een bedrijf had, zou ik geen
open source nemen om vervolgens die iedereen, die daar in zou willen
veranderen toe te laten op mijn systemen. Jij wel?
open source nemen om vervolgens die iedereen, die daar in
zou willen
veranderen toe te laten op mijn systemen. Jij wel?
laten op je systeem" ?
Verder is het evident dat open source, waar er ~200.000
mensen zijn die naar de broncode kijken, veiliger is dan
closed source, waar alleen een groepje werknemers van het
bedrijf naar kijken die de software zelf geschreven hebben.
Zelfkennis??
daar hebben ze bij M$ nooit van gehoord.
waarom moet jij nou wel het kleine kind uithangen?
open source nemen om vervolgens die iedereen, die daar in
zou willen
veranderen toe te laten op mijn systemen. Jij wel?
laten op je systeem" ?
Verder is het evident dat open source, waar er ~200.000
mensen zijn die naar de broncode kijken, veiliger is dan
closed source, waar alleen een groepje werknemers van het
bedrijf naar kijken die de software zelf geschreven hebben.
Groepje werknemers daar vergist je je toch wel een beetje in
Microsoft is een zeer grootte organisatie.
Dat daar slechtere programmeurs zitten dan in de open source
gemeenschap is uiteraard ook gelul.
Zeg gewoon dat de opbouw van een Linux systeem veiliger is.... dan
heb je wel gelijk.
van MS harder te roepen dan over een willekeurige OpenSource
distro.
OpenSource is gratis, MS verre van.
Je telt een behoorlijke som voor je licenties neer en zou
dan niet (harder) mogen klagen dan over iets dat gratis is?
Als bijvoorbeeld het openbaarvervoer gratis zou zijn zou er
een stuk minder geklaagd worden over het al dan niet
regelmatig en op tijd rijden dan nu.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
