Gyurkity Péter

Felelősek-e a programozók a biztonsági hibákért?

A brit fővárosban zajló biztonsági konferencián különböző vélemények csaptak össze: egyesek szerint a programozóknak kell viselniük a felelősséget, míg mások a munkaadókat tartják hibásnak.

A Secure London 2005 elnevezésű konferencián sokat vitatott téma, a programozók felelőssége került terítékre. A ZDNet jelentése szerint Howard Schmidt, a Fehér Ház egykori kiberbiztonsági tanácsadója úgy vélte, a kódot fejlesztő szakembereknek kell viselniük a teljes felelősséget a biztonsági hibákért. Egyben felhívta a figyelmet a képzés színvonalásnak emelésére, mivel a szakemberek egy részének nincs elegendő tudása a biztonságos szoftverek kifejlesztéséhez.

"A szoftverfejlesztés területén személyi garanciákra van szükség a programozók részéről, hogy az általuk megírt kód valóban biztonságos" - jelentette ki Schmidt, aki a Microsoft egyik közelmúltban lezárt felmérését idézte, miszerint a megkérdezett programozók 64 százaléka nem volt biztos saját magában, és abban, hogy biztonságos szoftvert tud írni. "Az egyetemi kurzusokon a skálázhatóság és kezelhetőség helyett végre a biztonságot helyezik előtérbe, ám a web területén még nem mindenhol érvényesül az új felfogás" - jellemezte a jelenlegi helyzetet a szakember.

A cikk idézi a British Computing Society szóvivőjének véleményét, aki csak részben értett egyet Schmidt álláspontjával. A szervezet szerint ugyanis valóban szükség van a személyi garanciákra, de a programozók helyett a fejlesztő cégnek, vagyis a munkaadónak kell vállalnia a felelősséget. Ők hivatottak ellenőrizni a biztonsági megoldások hatékonyságát, illetve az elvégzett munka eredményességét. A programozók felelősségre vonása - pénzügyi vagy jogi úton - ez esetben nem javítana a helyzeten.

A nagyobb biztonságra helyezi a hangsúlyt a Microsoft is, amelynek vezetői Münchenben fogalmazták meg a vállalat stratégiájának alaptételeit. A társaság szerint nem létezik olyan megoldás, amely az összes biztonsági kérdést egymagában megoldaná, ezért a többoldalú biztonsági megközelítést helyezik előtérbe. A vállalat jelenleg három fronton igyekszik biztonságosabbá tenni platformját: megfelelő technológiai beruházások, a felhasználók számára egyértelmű, követhető útmutatások, valamint a biztonsági iparággal, a kormányzatokkal és a rendészeti szervekkel kötött partneri együttműködések révén. Szükségük is lesz erre, ha helyre akarják állítani a biztonsági hibák, kártevők által megtépázott hírnevüket.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • valaé valaé ná #64
    Azért nem biztonságosak a programok, mert rosszak az alapok. Mert egy fejlesztői környezet vagy programnyelv megalkotásánál ez nem fő szempont. Pontosabban befektetés-megtérülés szempontjából nem kedvező. Talán majd szépen lassan.
  • pemga #63
    Köhh-köhh. A TATA-ról hallottál már? Láttad a vevői listájukat? Hány volt közöttük angol? :). De mondhattam volna a HCL-t is, csak az Mo-n nem annyira ismert.
  • vincuska #62
    amugy meg... mi vagyunk nyugat europa "indiája". az angolokon kivul senki sem szivesen alkalmaz indiai fejleszoket, es ezt ki kell hasznalni - magyarorszagon vannak jo programozok.

    el kell vallalni a melot, meg mindig egesz jo penzt fizetnek - es kussban meg le kell programozni mindent majd tovabblepni. meg mindig nagyon sok penz van benne, csak jo helyen kell lenni. kesobb meg lesz penzed, idoben alapitasz egy 'tanacsado ceget' es mindnert feleloseget fogsz vallalni. mert abbol a penzbol fizeted a benzint es a rezsit.
  • megrab #61
    Más oldalról megközelítve a dolgot: a hibák a szofverekben teljesen statisztikai jelleggel fordulnak elő. Ennek az az oka, hogy a világon milliónyi programozó milliárdnyi kódhoz nyúl hozzá.

    Tehát akad hiba a programban és idő kérdése, hogy valaki fel nem fedezi. Mivel sokan használnak pc-t a hibák jó része felszínre kerül, csak az a kérdés, hogy a fejlesztési időszakban, vagy csak utána.

    Ahogyan akad ember aki a macskáját mikróban szárítja (azért mert 6,5 milliárd ember közül elég nagy az esélye annak, hogy van ilyen hülye is), úgy gyakorlatilag lehetetlen azt elérni, hogy a programok kódjának sorainak tömegében ne legyen hiba.

    A programozók felelőssége szerintem annyi, hogy a komolyabb hibákat kijavítja amit talál. Más kérdés, hogy a mai világban erre egyre kevesebb időt hagynak nekik (ld. EA-per).
  • bakterrier #60
    jól látod
  • Komolytalan #59
    Kíváncsiak vagytok miért nem biztonságosak a szoftverek? Azért, mert ma már nem szoftverfejlesztés van, hanem szoftver ipar. Így a fejlesztések - bocsánat dehogy fejlesztés, termelés - irányításában nem vesznek részt olyan szakemberek, akik ha meglátnak egy forráskódot akkor mást is tudnak rá mondani, mint hogy "hú de hosszú, muszáj bele ez a sok sor?". Régen ez nem így volt. A programozók egy-egy csoportja fölött volt egy vezető fejlesztő, akinek kutya kötelessége volt az adott részfeladat minden forrását átlátnia, és szükség esetén belejavítania. Hozzá kell tennem hogy a programozók felvételénél is az ő szava döntött. És a felelősséget olyan szinten viselte, részesedett a project nyereségéből/veszteségéből is.
    Jelenleg - mivel ipari termelés van, nem fejelesztés - a programozók munkáját kizárólag fekete dobozként tudják vizsgálni a feletteseik illetve a teszterek: ezt kell hogy tudja, ezt tudja is, és kész. Viszont sajna azt nem tudják letesztelni, hogy a csillagok bizonyos együttállása esetén nem-e csinál valami iszonyat nagy baromságot. Ahhoz sajna bele kellene nézni valakinek. Az automata hibakereső, tesztelő eszközök teljesítménye nevetséges, arra ne hivatkozzon senki se. A szándékos hibát nem találják meg, viszont pánikolnak mindenféléért.
    Szóval ez van emberek - ha alkalmazott vagy, baromira nem érdek az, hogy a termék amit előállítasz az tökéletes legyen, sokkal inkább fontos hogy jó pozíciót harcolj ki magadnak, meg úgy általában a legkisebb energiabefektetéssel megúszd a munkádat. Ugyanígy a pék se fogja szívét-lelkét belesütni a túrós táskába, ha köze sincs a céghez, inkább kilop belőle egy kis túrót:-)
  • bakterrier #58
    hello!
    programozó vagyok, kövezzetek meg! :D
  • GodBadka #57
    Hát ha elérnék, hogy a programozó viselje a felelőséget a biztonsági hibákért, akkor józan gondolkodású programozó nem fog programot írni. Egy 10-20 soros programot is nehéz "tökéletesre" mergírni, nem még hogy egy több 100ezer, vagy millió soros gigászt. Ebből is látszik, hogy kedves a hőbörgő egykori kiberbiztonsági tanácsadó életében nem írt programot, vagy ha igen, akkor a rossz programozók közé tartozott és semmi komoly feladata nem volt.
  • irkab1rka #56
    Ez igy ahogy van hülyeség. Már a use case-ek tele vannak hibával és ellentmondással, akkor hogy akarod a programozón számonkérni?
    A hobákat simán ki tudod szűrni, ha megfelelő a fejlesztői környezet, és a QA-nak van ideje teszteket írni, ahogy a szerződésben meg van írva.

    Ebben a szövegben egy hiba van ;)
  • raingun #55
    Ismerősömmel olyan szerződést akartak aláiratni hogy a szoftver bukta után (nem lesz kész határidőre, tele van buggal) a kár felelősségének 90%-a az övé. Gondolhatná az ember hogy ez ok, hiszen tényleg mindent ők csinálnak.
    De ő megmondta ki szeretné egészíteni a szerződést azzal a mondattal, hogy siker esetén 90% haszon is az övé. Persze így már nem tetszett az adott cégnek és írtak egy normális szerződést, de azért bepróbálkoztak. Szóval a programozókat, mivel gyakolatilag ők is gyári melósok mindig le próbálják húzni...