Paweł Goleń, blog - Formularz komentarzy "Czy bezpieczeństwo to dodatkowy "ficzer"?"

wampir: Czy bezpieczeństwo to dodatkowy "ficzer"?

nospam@example.com (wampir) — Mon, 16 Feb 2009 10:26:25 +0100

Zgadzam się z Tomkiem, że same papierki (w szczególności opis procesu) nic nie daje, trzeba jeszcze postępować zgodnie z tym procesem. Natomiast istnieje pewien covert channel w reakcji na prośbę o opis procesu tworzenia oprogramowania - im większe zdumienie na twarzy, tym większe prawdopodobieństwo, że proces jest chaotyczny, niekontrolowany i w zasadzie oparty na zasadzie "co będzie, to będzie" oraz pracy sprzedawców uporczywie kładących klientowi do głowy "(...) będzie pan zadowolony (...)".

Tomek: Czy bezpieczeństwo to dodatkowy "ficzer"?

nospam@example.com (Tomek) — Mon, 16 Feb 2009 09:43:32 +0100

Gwarancji bezpieczeństwa nikt nie da ... inaczej strzeliłby sobie w stopę albo oprogramowanie które by zostało stworzone byłoby mało użyteczne. Tak jak napisał Paweł w komentarzu poniżej podstawą jest wymaganie od strony programistów, architektów itp podstaw bezpieczeństwa i podejścia do niego. IMO klient mógłby zamawiając rozwiązanie domagać się przedstawienia metodyki jaką w tym zakresie stosuje dostawca w ramach cyklu tworzenia produktu \ ewentualnie wyników testów przeprowadzonych przez niezależną firmę ... to tak na przykład w odniesieniu do aplikacji web. Nie że wierzę żeby samo przedstawienie metodyki coś dało ... nie wierzę w papierki ... ale jeżeli po stronie klienta byłby ktoś kto byłby w stanie to sensownie ocenić to stanowiłoby to jakiś (jeden z wielu) punkt sprawdzenia kontrahenta. Tutaj pojawia się teraz problem "kogoś sensownego" i brakującej u nas IMO praktyki zatrudniania w takim celu zewnętrznych specjalistów będących adwokatami klienta w takich projektach ... ale to już zupełnie inny temat.

wampir: Czy bezpieczeństwo to dodatkowy "ficzer"?

nospam@example.com (wampir) — Mon, 16 Feb 2009 07:43:22 +0100

Trudno wymagać od programistów pisania bezpiecznego kodu, jeśli mają o tym mgliste pojęcie.

Lord Wind: Czy bezpieczeństwo to dodatkowy "ficzer"?

nospam@example.com (Lord Wind) — Mon, 16 Feb 2009 00:42:41 +0100

W takim wypadku postawione pytanie może brzmieć "... czy może grawancja bezpieczeństwa stanowi dodatkowy "ficzer" ... Brak gwarancji w takim wpadku jest standardem, trudno wymagać od programistów celowego pisania niebezpiecznego kodu.

Tomek: Czy bezpieczeństwo to dodatkowy "ficzer"?

nospam@example.com (Tomek) — Sun, 15 Feb 2009 23:15:16 +0100

Hmmm ... prawdę mówiąc pytanie mnie trochę zdziwiło ... jeżeli by to tak potraktować to dev\firma stosująca taką zasadę powinna uwzgledniać w swojej ofercie że standard oznacza aplikacje bez "bezpieczeństwa". Wtedy tak .. mogą wymagać od klienta dodatkowej opłaty.