2009-05-02 5 views
2

Если вы являетесь разработчиком и имеете доступ к таким инструментам, как Ounce Labs, Fortify Software или Veracode, не могли бы вы возражать против того, чтобы показатели кода, который вы пишете, стали общедоступными? Если вы возражаете, что вам нужно, чтобы вы чувствовали себя более комфортно с большей прозрачностью в этом отношении?Измерение безопасности кода, написанного разработчиками программного обеспечения

Если показатели были общедоступными, считаете ли вы, что это будет иметь положительный побочный эффект, побуждая разработчиков тратить больше времени на обучение методам secure coding? Есть ли более эффективные подходы к поощрению разработчиков тратить свое время на изучение secure coding, учитывая конкурирующие проблемы?

+1

Это похоже на объявление об этих инструментах или что-то в этом роде? –

+0

Я сотрудник крупного предприятия и не работаю ни в одном из этих инструментов и не использую его. Просто заинтересованы в объективных способах измерения разработчиков и, что еще важнее, заставить их уделять внимание безопасности еще немного. – McGovernTheory

+3

Должно быть comm wiki. –

ответ

0

Я рассматриваю любую метрику с высокой степенью подозрения по всем обычным причинам. Показатели безопасности, скорее всего, будут использоваться как FUD. Вы также должны знать уместность. Например, дефекты, связанные с ненадежным кодом, не имеют отношения к ненадежному коду.

Есть два важных вопроса: ИМО: Уязвимость? Насколько это очевидно?

(Другой вопрос будет: Почему вы ссылка на какую-то местную группу, не давая понять, в ссылке?)

+0

Я думаю, что ваш ответ верен и помогает сделать продукты более безопасными, но на самом деле не отвечает, как заставить разработчиков уделять больше внимания написанию защищенного кода. Существуют ли альтернативы, кроме использования субоптимальной тактики, например, бросания их под шину с использованием ошибочных показателей ... – McGovernTheory

+1

Я определенно считаю, что есть ценность в автоматизированных инструментах, но соглашаюсь с тем, что необработанный (или слегка обработанный) вывод не является чем-то, что следует использовать как «метрики». –

+1

(Продолжение - удача возвратом по ошибке!) ... Где я работаю, это корпоративное требование запуска кода с помощью инструмента статического анализа, ориентированного на безопасность, перед отправкой (кроме того, мы используем Findbugs во время разработки). Я сделал свой черед, просеивая результаты и обнаружил, что иногда возникает реальная проблема, но также много ложных срабатываний или мест, где поднятый вопрос не имеет отношения к ситуации. Суждение, связанное с различием между ними, должно быть техническим, а не «политизированным», будучи измеренным извне. –

1

Я не думаю, что доступ к инструментам обязательно является проблема. По внешнему виду вашего профиля мы находимся в аналогичной позиции. Я отвечаю за архитектуру довольно крупных клиент-серверных решений. Проблемы с безопасностью в нашей кодовой базе являются результатом безопасной практики, которая просто не является «на радаре». Они набиваются для наборов функций и других исправлений ошибок клиента.

В настоящее время мы изучаем, как защитить нашу кодовую базу, управлять ролями безопасности на уровне предприятия и все эти хорошие вещи из-за рыночного спроса. Я думаю, что иметь возможность оценить уровень риска в кодовой базе очень важен. Именно здесь начинают действовать инструменты - они предлагают отчеты и могут быть использованы для улучшения. Разработчики, такие как измеримое продвижение и уменьшение количества угроз безопасности, обнаруженных инструментом анализа от одного выпуска к другому, очень измеримы.

Я думаю, что инструменты и отчеты, которые они предлагают, могут быть полезны и на самом деле играют довольно важную роль. Но до тех пор, пока кто-то (менеджмент, рынок и т. Д.) не установит какое-то значение на закрытие дыр в безопасности и мандаты на повторное использование инструментов для снижения снижения рисков, разработчики не будут чрезмерно заинтересованы в связанных с безопасностью программирование. На самом деле это не так интересно, когда вы смотрите на все другие действительно классные вещи из свиста. Вы можете захотеть check out this related thread с нескольких недель назад или even this one с октября прошлого года.

Хуже того, проблемы безопасности действительно влияют на очень небольшое количество программного обеспечения сегодня. С учетом сказанного, большое количество дефектов, о которых сообщает Поле не произошло бы, если бы мы уделяли больше внимания безопасности; другими словами, они являются дефектами безопасности, хотя они сообщаются, потому что они вызывают другие проблемы. Именно здесь я считаю, что мы можем получить самый большой удар по доллару при устранении дефектов безопасности. Интересно, проводил ли кто-нибудь исследование, изучающее скорость отчетов об ошибках до и после прохождения оценки безопасности и ремонта. Моя кишка говорит мне, что скорость сообщаемых дефектов должна уменьшаться, т. Е. «Более безопасное программное обеспечение» == «программное обеспечение более высокого качества». Этого достаточно ...