Producenci powinni odpowiadać za luki w oprogramowaniu?
10 marca 2010 06:21 securitystandard
Propozycja specjalistów jest prosta - chcą oni, by firmy kupujące aplikacje wymagały od ich twórców udowodnienia, iż kod powstał zgodnie z zasadami tworzenia bezpiecznego kodu. Jeśli później okaże się, że dostawca do takich zasad się nie stosował, to kontrahent będzie mógł żądać od niego odszkodowania. Podstawą do takich roszczeń mógłby być np. skuteczny atak na ową aplikację, przeprowadzony przez błąd, który nigdy nie powinien się w niej pojawić (gdyby była napisana zgodnie z zasadami).
"Prawie wszystkie ataki na oprogramowanie przeprowadzone są z wykorzystaniem prostych błędów programistycznych, które umożliwiają hakerom wprowadzenie złośliwego kodu. Obawiam się, że jedynym sposobem na wyplenienie tych błędów jest umieszczenie w umowach z dostawcami oprogramowania zapisów, w myśl których będą oni odpowiedzialni za straty powstałe w wyniku ataków przeprowadzonych przez takie luki" - komentuje Alan Paller, szef działu badań SANS Institute.
Warto wspomnieć, że specjaliści z SANS i Mitre opublikowali niedawno listę 25 najpoważniejszych błędów programistycznych - z dołączonego do niej raportu wynikało, że to właśnie wymienione w spisie błędy zostały wykorzystane we wszystkich głośniejszych atakach informatycznych ubiegłego roku (dotyczy to również słynnego ataku na Google i kilkadziesiąt innych amerykańskich firm, przeprowadzonego prawdopodobnie przez Chińczyków).
Na pierwszych trzech miejscach listy znalazły się następujące błędy programistyczne: buffer overflow (czyli błąd przepełnienia bufora - zwykle umożliwia nieautoryzowane uruchomienie kodu w systemie), SQL Injection oraz cross-site scripting (te luki umożliwiają umieszczenie w bazie danych lub na stronie WWW złośliwej zawartości).
- ~gość
- 2010-03-10 09:45:43
To będzie dość łatwe i stosunkowo tanie, gdy stosuje się architektury , metodologie i praktyki MS (MS patterns & practices wraz z nowym VS i uzupełnieniami). To będzie niestety niezbyt łatwe i kosztownen gdy stosuje się realnie istniejące rozwiązania open source do tworzenia (a jeszcze gorzej do rozwoju) większych systemów.
- ~Jery
- 2010-03-10 09:58:41
A co to serwis linkow i komentarzy sponsorowanych?
- ~Mołot
- 2010-03-10 10:17:51
Akurat MS nie bierze żadnej odpowiedzialności za błędy swoich aplikacji, więc o co chodzi?.. Ja jestem za obciążaniem odpowiedzialnością finansową do dziesięciokrotności kosztu licencji, i tylko za wady ukryte - czyli jeśli błąd był w sekcji o otwartym kodzie, i każdy łącznie z kupującym wiedział, bądź wykazując należytą staranność mógł o tym wiedzieć, to nie obwiniać sprzedawcy; tak jak to jest z tradycyjnymi towarami.
- ~gość
- 2010-03-10 11:45:37
Mołot: spróbuj zrozumiec: propozycja brania odpowiedzialności dotyczy przyszłych rozwiązań, przyszłych aplikacji. Być może jako obligatoryjny wymóg w licencjach lub inna biurokracja. Co nie jest łątw do spełnienia poza narzędziami i architekturami i metodologiami i wzorcami MS.
- ~Mołot
- 2010-03-10 11:52:11
@IP: 85.128.36.194 A tobie się wydaje, że czego nie rozumiem? Dla jasności - to, że MS nie bierze odpowiedzialności było komentarzem na zachwalanie praktyk MS - <ironia>które jak widać skutkują bardzo stabilnym kodem od samego MS, niepodatnym na wirusy czy włamy, nie wieszającym się i w ogóle.</ironia> Gdyby ich praktyki były OK, nie baliby się brać odpowiedzialności za szkody, jakie powodują (bo takowych by nie było, a w reklamie świetnie wygląda). Nic nie mówiłem o nakładaniu odpowiedzialności wstecz; jeśli wydaje ci się, że to u mnie przeczytałeś, radzę się wyspać :D
- ~phi
- 2010-03-10 15:52:07
Tadziu, Ty nasz trollu, metodologię Microsoftu znamy na wylot przy okazji instalowania kolejnych poprawek do poprawek, które naprawiają to, co zepsuł poprzedni Service Pack i wprowadzają nieznane dotąd błędy. Metodologia ta jest po prostu świetna, ale jej celem jest przynoszenie pieniędzy Microsoftowi a nie dostarczanie bezpiecznych systemów końcowemu odbiorcy. Kropka.
- ~gość
- 2010-03-10 16:44:11
ladnie brzmi, ale malorealne
- ~fffatman
- 2010-03-10 16:44:33
@tad: Microsoft VBScript compilation error ''800a03e9'' Out of memory /ocena/dzial.asp, line 0
- ~fffatman
- 2010-03-10 16:45:29
A czasem zamiast komentu: HTTP/1.1 500 Server Error
- ~phi
- 2010-03-10 17:24:44
@fffatman - taki komentarz też jest dobry, doskonale oddaje działanie narzedzi Microsoftu w rzekomo profesjonalnym wydaniu.
- ~rusineck
- 2010-03-10 20:06:11
W ciągu 15 minut 6 razy wyświetliły mi się podane was komunikaty. I to mam być jakość oraz coś tam coś tam optymalne za całokształt.
- ~Tomek
- 2010-03-11 15:05:22
Porducenci zgodzą się odpowiadać co najwyżej na pytania dotyczące błędów, a i to niechętnie. Pełnej odpowiedzialności nie wezmą nigdy, nawet jeśli zmusi ich do tego prawo. Prawnicy znajdą sposób, aby to obejść. Nie ma szans zrobić czegoś absolutnienie niezawodnego rękami ludzi, zwłaszcza jeśli to coś jest bardzo skomplikowane i w jego tworzeniu bierze udział kilkadziesiąt czy kilkaset osób. To mrzonka, bez względu na barwy drużynowe. Zresztą, już widzę, jak małe firmy programistyczne i samodzielni programiści garną się, żeby podpisać taki cyrograf. Już prędzej sensowny jest model realny, w którym dostawca odpowiada za hostowanie oprogramowania. Dyskusja jest czysto akademicka, bo biznes chce nowych funkcji, nawet jeśli jest pewne ryzyko. I zapłaci za nie. Płaci przecież od lat. Tomek
Popularne produkty
Pobierz bezpłatnego e-booka 
Kariera w IT 2012
