Liever veilige dan creatieve programmeurs
Software ontwikkelaars moeten zich veel meer richten op de security van software dan het tonen van hun creatieve vaardigheden, aldus het Amerikaanse "Cyber Security Partnership." Certificering voor programmeurs, beter onderwijs en zelfs wetgeving zijn nodig om software security te verbeteren, aldus een rapport van het security orgaan. "Er is namelijk geen eenduidige oplossing om software veiliger te maken. Verschillende initiatieven zijn dan ook nodig," aldus Scott Charney in dit artikel.
maar het is ook erg belangrijk om creatief te zijn. Hoe kun je anders vanaf
scratch iets maken??
proces als een Abraham tank. De opdrachtgever / consument
stelt z'n eisen en bepaald wat 'ie er voor over heeft. En
dat bepaalt hoe secure de software is.
Dat heet marktwerking, en zolang er geen dooien vallen en de
economische schade voor het overgrote deel terecht komt bij
diegenen die zelf zo onverantwoordelijk zijn geweest om
security een lage prio te geven moeten
softwareontwikkelaars helemaal nix. Kunnen ze ook niet veel
zolang afnemers liever dokken voor features dan voor security.
paar andere functies te gebruiken kun je je programma wel degelijk een
heel stuk veiliger maken. Zo moet je bijv. strncpy gebruiken ipv strcpy. Als
je dat gewoon direct vanaf het begin doet hoeft het dus echt geen geld
en/of tijd te kosten.
De meeste (web)ontwikkelaars (iig degene die ik tegengekomen ben)
weten niet eens hoe een netwerk werkt, laat staan dat ze ook maar iets
begrijpen van security.
De meeste (web)ontwikkelaars (iig degene die ik tegengekomen
ben)
weten niet eens hoe een netwerk werkt, laat staan dat ze ook
maar iets
begrijpen van security.
Dat verbaasd mij dus ook wel eens. Laat staan dat ik snap
waarom bedrijven in hun vacatureomschrijvingen zulke hoge
eisen stellen aan kandidaten.
Ik vind het standaardiseren van security-oplossingen ten
koste van creativiteit raar. Standaardiseren is niet het
probleem. Een beetje programmeur moet inderdaad van bepaalde
veelvoorkomende exploits op de hoogte zijn en ook weten wat
er tegen te doen. Zoals een andere link over SQL buffer
overflows, of simpelweg verkeerde queries genereren. Dat kan
ik elke taal gedaan worden, zeker op het web.
Maar als je creativiteit weghaalt, en de oplossing
standaardiseert, dan vernauw je de mogelijkheden tegen
exploits. Je bent immers niet meer creatief. Elke oplossing
is dan bekend, en dus ook weer exploitable. Dat schiet dus
niets op. Best dat je een richting in denkt om zo'n exploit
te omzeilen, maar wees wel creatief hoe je de oplossing
toepast.
Strikt genomen. De stelling is "creatief of veilig" kies ik
wel voor veilig, maar niet gestandaardiseerd ten koste van
creativiteit.
- Unomi -
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!