エキスパート:開発者に欠陥の責任を負う

火曜日、SecureLondon 2005カンファレンスでは、R&H Security ConsultingのCEOであるSchmidtも、ソフトウェア開発者のためのより良いトレーニングを求めていた。彼は、多くの開発者がセキュリティで保護されたコードを書くのに必要なスキルを持っていないと考えていると述べた。

ソフトウェア開発では、開発者から書かれたコードが安全であることを個人的に保証する必要があります」とシュミット氏は最近、彼が最近知り合ったバックエンドデータベースと対話するためのWebアプリケーションを作成したSSL。

彼らは強力な認証、強力なパスワード、暗号化されたトンネルを持っていました。保存されたデータは暗号化されています。しかし、そのデータが購買事務所に送られたとき、それはプレーンテキストファイルとして送られました。これはエンドツーエンドのソリューションではありませんでした。エンドツーエンドソリューションのために開発者から個々のアカウンタビリティを得る必要があるので、「これは完全に安全ですか?」と言います。

シュミット氏は、マイクロソフトの最近の調査によると、ソフトウェア開発者の64%がセキュリティ保護されたアプリケーションを作成できるとは確信していなかったという。彼にとっては、より良いトレーニングが進歩的な方法です。

ほとんどの大学のコースは、伝統的にユーザビリティ、スケーラビリティ、管理性に重点を置いていました。現在、多くの大学では情報の保証とセキュリティに重点を置いていますが、従来は、マウスクリックでWebアプリケーションの開発が測定されていました。

シュミット氏によれば、ソフトウェアを開発する企業には、将来の従業員が採用する前に適切なセキュリティ資格を持っているかどうかをチェックするという役割もあります。

英国コンピュータ協会(British Computer Society)は、ソフトウェア開発に責任を負わなければならないと同意したが、従業員自身ではなく、従業員によって作成されたコードのセキュリティについて企業が責任を負わなければならないと主張した。

ハワード氏は、ソフトウェア開発者が自分が書いたコードのセキュリティについて個人的責任を負わなければならないと言って極端になったが、彼が取っている方向性に広く同意する。私は、そのレベルのアカウンタビリティに非常に不快な多くの開発者を知っています。 BCSのセキュリティ担当者は、インタビューで、同社のソフトウェアのセキュリティ機能が厳格にテストされていることを確認することは、会社の責任であると語った。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

コードが静的ではないという点もあります。一度購入すれば、変更することができます」と、代理人はこれが個人の説明責任を軽減すると指摘しています。

また、最新のパッチをインストールしていない、またはシステムを誤ってインストールしているため、多くのセキュリティ攻撃が成功します。

BCSの代理人は、企業自身が、購入するソフトウェアのセキュリティについて何らかの責任を負うべきだと述べた。 「このソフトウェアは、その目的に合ったものであることが証明されなければなりません。これは、信頼できるオンライン環境を構築する上で不可欠です。

イギリスのウェブサイトのトム・エスピナー氏がロンドンから報告した。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン