Dit zijn leidende vragen, het resultaat is dus waardeloos. Je hebt geen "secure application program process" nodig om veilig te programmeren.

Uiteraard is security geen topprioriteit. Dat is weggelegd voor het doel van het programmeren, het programma zelf.

Ach ja, Microsoft en onvooringenomen onderzoek, dat gaat niet samen.

Eerder gehoord/gelezen met diepgaandere analyse en oplossingen
https://www.security.nl/artikel/45289/1/App-explosie_is_achilleshiel_smartphone.html

"Start bij het programmeren"

Laat de ontwikkelaars van Microsoft zelf eens veiliger programmeren. Wat een arrogantie weer zeg.

Het helpt als je ze geen codekloppers noemt, maar ze met respect behandeld.

Het helpt ook als je fatsoenlijk Nederlands kunt schrijven: behandelt is met een T.

Verder heb ik wel redelijk de buik vol van 'processen'. Het is vaak een enorm omslachtige manier om niet te bereiken wat je wilt. Doe maar gewoon mensen die het snappen. Scheelt een hoop gedoe.
Als die dan ook nog het verschil tussen een 'whitelist' en een 'blacklist' kennen, moet het lukken.

"Zo bleek dat bijna de helft (44%) van de ontwikkelaars geen proces volgt om veilig te programmeren. "

Welk percentage van de ontwikkelaars heeft de juiste opleiding gekregen om veilig te kunnen programmeren ?

...

En niemand begrijpt hoe dat komt, nou omdat ik zelf een beetje programmeer hier en daar kan ik het vertellen; programmeren is namelijk hetzelfde eeuwige gezeik als politiek je moet soms compromissen sluiten.....

Dat geneuzel over "processen" komt vooral van managers die zelf geen regel code kunnen schrijven, hooguit in hun Excel berekeningen om te bepalen wie ze er uit gooien. En waarom zou je veilig programmeren onder windows als de NSA toch directe toegang krijgt?

Je wilt toch niet degene zijn wiens software misbruikt is om de NSA te hacken ;)

Hoezo is veilig programmeren een management probleem? Heeft een programmeur geen eigen trots? En laten we wel wezen ik vind dat een engineer een manager moet aan sturen om goede procedures te krijgen.
We hadden laatst een cursus (meer een praatje) hoe je bepaalde dingen moest aan pakken. Ik heb een totaal andere achtergrond dan de meeste van mijn collega's. Ik gebruikte in mijn dagelijks werk een soort gelijke werk methode. Later sprak ik mijn manager en ik vertelde hum dat het mij verbaasde dat eens soort gelijke methode nog niet gebruikt werd maar dat ik het goed vond dat het ging gebeuren en dat de nieuwe methode meer een management methode was, dan mijn methode. Ik doelde hier op dat iedereen de zelfde methode gebruikt dat als je iemands werk over neemt (om wat voor reden dan ook) alles terug te vinden is. Dat ik het een management methode noemde maakte hij op dat ik het slecht vond. Dit was dus niet zo. Ik vind alleen dat goed werken van uit de mensen moet komen en dat de manager dit stroomlijnt dat al het werk goed op elkaar aan sluit. Je verschuilen acht dat er regels van uit het management komen vind ik net zo dom als een manager die van boven af regels op legt.
Ik dacht ook eerst dat MS vond dat hun codekloppers meer eer in hun werk moesten krijgen.
Maar nu blijven er slechts een paar spreek woorden hangen.
De pot verwijd te ketel dat hij zwart ziet.
En men ziet wel de splinter in een ander oog maar niet de balk in het eigen.

Het punt is ook dat de programmeur wel goed gereedschap moet gebruiken.
Je kunt de automonteur wel aan het werk zetten met alleen een waterpomptang maar dan draait ie ook
de boutkoppen kapot.

Als een programmeur gaat werken met PHP met de mysql_xxxx functies zoals in alle "hoe leer ik PHP
in een dag" boekjes wordt uitgelegd dan moet je niet gek kijken als er SQL injectie mogelijk is.

Idem voor ASP als er gebruik gemaakt wordt van simplistische "execute this string as SQL query" functies
zoals je bijvoorbeeld in Visual Basic hebt.

Dat soort crap is gewoon ontoereikend om fatsoenlijk werk te leveren, het is de waterpomptang van het programmeren.

Mensen gebruik toch een SQL prepared statement interface. Laat je niet verleiden tot mysql_query zelfs
al heb je de meest hippe quoting functie in gebruik, het gaat altijd een keer fout.

Het maakt niet uit of je code klopt of straatstenen.

Je krijgt een opdracht, je verteld dat dat niet KAN werken.
Dan mag je kiezen ontslag op staande voet (werk weigeren) of toch uitvoeren.

Bij uitvoeren zorg je dat je ingedekt ben zodat je niet de schuld en ontslag op staande voet krijgt!

Uiteindelijk krijgt de manager een standje, en hij mag je niet ontslaan want je bent een goede kracht.
Dus wordt je weg getreiterd, geen goed "gereedschap" wel shit klussen.
Dat is het LEVEN van de FLEXwerker. Het gebeurde mij 5 x in 8 jaar (meet en regel techniek)

De theorie
Is het niet zo dat werkgever A een werkend product wil hebben, programmeur A, in dienst van werkgever A doet dit en stopt de beveiliging er vaak meteen in. Of kan dit achteraf toevoegen.

De praktijk.
Opdrachtgever A wil een werkend product, programmeur B van werkgever B doet dit als inleenkracht.

Opdrachtgever A wil na oplevering ook een veilig product, was hij vergeten te melden,
programmeur B berekent in overleg met zijn werkgever B nu ineens extra tijd en geld, want dat stond niet in de product omschrijving.


Je krijgt wat je vraagt denk ik soms.

Probleem is dat mensen programmeren en niet engineeren. Wanneer je software op een juiste engineert dan wordt er tijdens het ontwerp al rekening gehouden met security. Ook voor nieuw te ontwikkelen onderdelen op een bestaand systeem moet één of andere werkwijze van engineering worden gevolgd. Dit is een wereld van verschil met 'standaard' programmeurs ofwel codekloppers zoals dat hier zo neerbuigend wordt genoemd. Tussen programmeren en engineeren zit namelijk ontzettend veel verschil. Een 'eenvoudige' programmeur is zich vaak helemaal niet bewust van wat er allemaal nog meer bij komt kijken. Een ervaren engineer echter wel (of zou dat in ieder geval moeten zijn). Programmeren is ook niet zo moeilijk. Engineeren echter wel. Een goede software engineer kent het hele proces van A tot Z en houdt altijd, ongeacht het doel van het te ontwikkelen (deel)systeem, rekening met alle aspecten uit het softwareontwikkelproces, dus ook security.

"Dat geneuzel over "processen" komt vooral van managers die zelf geen regel code kunnen schrijven, hooguit in hun Excel berekeningen om te bepalen wie ze er uit gooien. En waarom zou je veilig programmeren onder windows als de NSA toch directe toegang krijgt?"

Is de NSA de enige partij ter wereld tegen wie je gegevens wilt gebruiken ? Of denk je, als de NSA toegang heeft, dan moeten criminelen er ook bij kunnen ? De politie kan jouw voordeur ook openkrijgen; toch neem ik aan dat jij je deur op slot doet.