Expert: Houd ontwikkelaars aansprakelijk voor fouten

Sprekend dinsdag op de conferentie SecureLondon 2005, Schmidt, die nu CEO van R & H Security Consulting, ook gepleit voor een betere opleiding voor software-ontwikkelaars. Hij zei dat hij gelooft dat veel ontwikkelaars niet over de vaardigheden die nodig zijn om veilige code te schrijven.

In de ontwikkeling van software, moeten we persoonlijke kwaliteit garanties van ontwikkelaars die de code schrijven ze veilig is, “zei Schmidt, die het voorbeeld van sommige ontwikkelaars hij onlangs ontmoet die een webtoepassing om een ​​back-end database te praten met behulp van had gemaakt aangehaald SSL.

Ze hadden sterke authenticatie, sterke wachtwoorden, een versleutelde tunnel. De opgeslagen gegevens zijn versleuteld. Maar wanneer die gegevens naar de inkoop kantoor werd verzonden, werd het verzonden als een tekstbestand. Dit was niet een end-to-end oplossing. We moeten individuele verantwoordelijkheid van ontwikkelaars voor end-to-end oplossingen, zodat we kunnen gaan naar hen en zeggen: ‘Is dit volledig veilig? “Schmidt gezegd.

Schmidt verwees ook naar een recent onderzoek van Microsoft vinden dat 64 procent van de software-ontwikkelaars waren niet overtuigd dat ze veilig applicaties kon schrijven. Voor hem, betere opleiding is de weg vooruit.

De meeste universitaire opleidingen van oudsher gericht op bruikbaarheid, schaalbaarheid en beheerbaarheid – geen veiligheid. Nu veel van de universiteiten richten zich op informatie zekerheid en veiligheid, maar van oudsher heeft Web applicatie ontwikkeling is gemeten in muisklikken – hoe te maken gebruikers doorklikken “, aldus Schmidt.

Bedrijven die software ontwikkelen ook een rol te spelen, zei Schmidt, door te controleren of potentiële werknemers beschikken over relevante veiligheid kwalificaties voor het huren van hen.

De British Computer Society erover eens dat er verantwoording in de ontwikkeling van software zou moeten zijn, maar voerde aan dat bedrijven die verantwoordelijk zijn voor de beveiliging van de code geschreven door hun werknemers dienen te worden gehouden, in plaats van door de werknemers zelf.

Howard heeft een extreme gegaan door te zeggen dat software-ontwikkelaars moeten persoonlijk verantwoordelijk worden gehouden voor de veiligheid van de code die ze schrijven, maar we in grote lijnen eens met de richting die hij neemt. Ik weet dat veel ontwikkelaars die zeer ongemakkelijk met dat niveau van verantwoording zou zijn, vooral als dat juridische verantwoording. Het is de verantwoordelijkheid van een bedrijf om ervoor te zorgen dat de echtheidskenmerken van de software worden getest met strengheid, “een zekerheid representatief is voor de BCS zei in een interview.

Veiligheid; FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; beveiliging; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber -emergency reactie van de overheid waakhond

Er wordt op gewezen dat voor code niet statisch. Eenmaal gekocht, kan worden gewijzigd, “de vertegenwoordiger toegevoegd, erop wijzend dat deze individuele verantwoordelijkheid zou verminderen.

Daarnaast zijn veel security aanvallen slagen, omdat de mensen niet van de nieuwste patches zijn geïnstalleerd of hebben een systeem verkeerd geïnstalleerd.

Bedrijven moeten zelf enige verantwoordelijkheid voor de beveiliging van de software die ze kopen te accepteren, de BCS-vertegenwoordiger zei. “De software moet worden getoond geschikt voor zijn doel te zijn. Dit is essentieel voor het produceren van een betrouwbare online-omgeving,” zei de vertegenwoordiger.

Tom Espiner van de website UK gemeld uit Londen.

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond