Выложил «дао безопасности»
Хотите разработать безопасную программу — пригласите хакера.
Согласны с этим утверждением?
«Да! Конечно, да!» — скажет подавляющее большинство читающих эти строки — «Эти парни умеют взламывать программы, и, следовательно, лучше всех знают, как их надо защищать. Именно хакеров надо приглашать, когда надо модифицировать процесс разработки с учетом требований безопасности; именно хакеров надо приглашать, когда надо научить программистов создавать безопасные приложения».
«Нет! Ни в коем случае!» — скажу я. Хакеры не могут создать безопасную программу. Да, возможно, они смогут взломать ее, но защитить…
На основании своего опыта берусь утверждать:
- безопасность программы достигается слаженной работой двух категорий специалистов: разработчиков и хакеров;
- хакер и разработчик — принципиально разные специалисты: у них разный опыт, разные навыки, вероятно, разная психология;
- обучать хакеров и разработчиков необходимо разным навыкам, и это должны делать разные люди;
- «вес» хакеров в обеспечении безопасности сейчас существенно преувеличен;
- перенос центра тяжести с «хакерских» на «разработческие» методы снижает стоимость разработки, как минимум, в два раза (не на проценты, в разы!);
- безопасность при этом не ухудшается, более того, может быть даже улучшена;
- есть ситуации, когда безопасную программу можно и нужно создавать вообще без участия хакеров непосредственно в разработке;
- в краткострочной перспективе хакерство может быть эффективным инструментом решения проблемы, цена — рост технического долга.
Этой теме посвящена «Дао безопасности». Это вторая статья из серии «Не надо думать, как хакер».
Я предлагаю прочитать статью следующим читателям:
- всем, кому необходимо создавать безопасные программы;
- руководителям, создающим команду разработчиков;
- руководителям, планирующим обучение своих сотрудников;
- разработчикам учебных курсов;
- специалистам, планирующим карьеру в этой области.
Читать статью (Осторожно! Букв много, очень много).
Опубликовано: