Выложил «дао безопасности»

Хотите разработать безопасную программу — пригласите хакера.

Согласны с этим утверждением?

«Да! Конечно, да!» — скажет подавляющее большинство читающих эти строки — «Эти парни умеют взламывать программы, и, следовательно, лучше всех знают, как их надо защищать. Именно хакеров надо приглашать, когда надо модифицировать процесс разработки с учетом требований безопасности; именно хакеров надо приглашать, когда надо научить программистов создавать безопасные приложения».

«Нет! Ни в коем случае!» — скажу я. Хакеры не могут создать безопасную программу. Да, возможно, они смогут взломать ее, но защитить…

На основании своего опыта берусь утверждать:

• безопасность программы достигается слаженной работой двух категорий специалистов: разработчиков и хакеров;
• хакер и разработчик — принципиально разные специалисты: у них разный опыт, разные навыки, вероятно, разная психология;
• обучать хакеров и разработчиков необходимо разным навыкам, и это должны делать разные люди;
• «вес» хакеров в обеспечении безопасности сейчас существенно преувеличен;
• перенос центра тяжести с «хакерских» на «разработческие» методы снижает стоимость разработки, как минимум, в два раза (не на проценты, в разы!);
• безопасность при этом не ухудшается, более того, может быть даже улучшена;
• есть ситуации, когда безопасную программу можно и нужно создавать вообще без участия хакеров непосредственно в разработке;
• в краткострочной перспективе хакерство может быть эффективным инструментом решения проблемы, цена — рост технического долга.

Этой теме посвящена «Дао безопасности». Это вторая статья из серии «Не надо думать, как хакер».

Я предлагаю прочитать статью следующим читателям:

• всем, кому необходимо создавать безопасные программы;
• руководителям, создающим команду разработчиков;
• руководителям, планирующим обучение своих сотрудников;
• разработчикам учебных курсов;
• специалистам, планирующим карьеру в этой области.

Читать статью (Осторожно! Букв много, очень много).