'Microsoft niet laten boeten voor lekke software'
Regelmatig wordt er geopperd om softwareontwikkelaars zoals Microsoft aansprakelijk te maken voor beveiligingslekken in hun producten, omdat dit tot veiligere software zou moeten leiden, maar er kleven ook risico's aan. Dat zegt Rik Ferguson van Trend Micro. Het idee is dat als softwareontwikkelaars moeten opdraaien voor gemaakte fouten, veilig programmeren een hogere prioriteit gaat.
Ferguson waarschuwt dat hierdoor de kosten van software stijgen, omdat ontwikkelaars allemaal verzekeringen moeten afsluiten, aangezien het bijna onmogelijk is om foutloze code te schrijven. De kosten hiervan worden vervolgens doorberekend aan de klant. Voor gratis software zou dit zelfs het einde kunnen betekenen.
Een tweede effect is dat consumenten met extra kosten te maken krijgen. Als een ontwikkelaar een nieuwe versie uitbrengt die lekken in een eerdere versie verhelpt, zou de juridische dekking niet meer voor de oude versie gelden. Consumenten die de ontwikkelaar aansprakelijk willen kunnen houden moeten dan ook naar de nieuwste versie upgraden.
Nalatigheid
Daarnaast zou de gebruikersovereenkomst al voldoende mogelijkheden bieden om een ontwikkelaar aan te pakken in het geval van nalatigheid. Ferguson merkt echter op dat de meeste incidenten het gevolg zijn van misbruik van beveiligingslekken waar al een patch voor beschikbaar is.
"Zelfs met fysieke goederen zoals een auto, is een leverancier niet verantwoordelijk om een potentieel levensgevaarlijke fout te verhelpen, alleen om een terugroepactie te organiseren en de noodzakelijke veranderingen te maken. Is het echt zo verschillend of je reageert op een terugroepactie of een patch installeert. Waar denk je dat in die gevallen de verantwoordelijkheid ligt?"
Nu krijgt de klant indirect de kosten op het bordje door noodupdates en ander extra werk wat wordt veroorzaakt door blijkbaar onveilig programmeren. En de vergelijking met de auto gaat weer lekker op. Een potentieel levensgevaarlijke fout in een auto wordt breed uitgemeten in de media en de garage neemt actief contact op met de klanten. Bij het gros van de ontwikkelaars staat er niet eens een waarschuwing op de site, laat staan dat de verkoper je op gaat bellen om je te vertellen dat je software potentieel levensgevaarlijk zou zijn. Zie je het al voor je? "Goedemorgen, met de V&D. Die laptop die u vorig jaar heeft gekocht etc..."
Prima, maar er moet iets veranderen en een boetesysteem is een prachtige stimulans voor ontwikkelaars en uitgevers om meer prio te geven aan communicatie en preventie. Nu zijn ze enkel geïnteresseerd in zo veel mogelijk centjes verdienen.
Die gebruikersovereenkomst sluit nu juist alle verantwoordelijkheid en mogelijke schadeclams uit.
Arnoud Engelfriet?
Als je nou naar M$ kijkt, dan is 100% van alle software die ze ooit gemaakt hebben kandidaat voor een 'terugroepactie'.
Verder is bij deze fabrikant gebleken dat 1 'terugroepactie' per 'model' nog nooit genoeg geweest is. En 10 ook niet.
Conclusie: het werk is veel slechter dan dat van een auto-fabrikant en die vergelijking gaat dus ook mank.
Nu krijgt de klant indirect de kosten op het bordje door noodupdates en ander extra werk wat wordt veroorzaakt door blijkbaar onveilig programmeren. En de vergelijking met de auto gaat weer lekker op. Een potentieel levensgevaarlijke fout in een auto wordt breed uitgemeten in de media en de garage neemt actief contact op met de klanten. Bij het gros van de ontwikkelaars staat er niet eens een waarschuwing op de site, laat staan dat de verkoper je op gaat bellen om je te vertellen dat je software potentieel levensgevaarlijk zou zijn. Zie je het al voor je? "Goedemorgen, met de V&D. Die laptop die u vorig jaar heeft gekocht etc..."
Prima, maar er moet iets veranderen en een boetesysteem is een prachtige stimulans voor ontwikkelaars en uitgevers om meer prio te geven aan communicatie en preventie. Nu zijn ze enkel geïnteresseerd in zo veel mogelijk centjes verdienen.
Dan schrijf je toch jouw eigen OS? Is vast en zeker perfect.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
