Пробуждането на разсеяния програмист

Хакерските атаки и пробиви в сигурността може да доведат до създаването на автоматизирани системи за проверка на написания код

Софтуерът не е сигурен. Това е тъжната реалност, която все повече започва да изпъква на фона на всички разкрития за проблеми в най-различни платформи. Компании и специалисти търсят най-разнообразни решения, но засега без особени резултати. Което провокира появата на ново, по-нетрадиционно предложение, което цели съставянето на методи, които да накарат програмистите да обръщат повече внимание на качеството на своите приложения.

Само преди няколко седмици еBay например обяви, че е жертва на хакерска атака, която е компрометирала данните на много потребители. Тя помоли своите 145 млн. клиенти да сменят паролите си за всеки случай. Пак тази пролет беше открит и сериозен проблем в сигурността на стандарта за криптиране на интернет трафика OpenSSL. Пробивът, наречен Heartbleed, практически позволяваше на хакерите да заобикалят системите за сигурност и ако са достатъчно търпеливи, да изтеглят малки блокчета с информация, които след това могат да "сглобят". Съвсем наскоро беше открита уязвимост и в протокола TLS. Оказва се, че и двете грешки са дело на един и същ програмист и са съществували още от самото създаване на софтуера преди повече от 15 години.


Четете неограничено с абонамент за Капитал!

Статиите от архива на Капитал са достъпни само за потребители с активен абонамент.

Вече съм абонат Абонирайте се

Възползвайте се от специалната ни оферта за пробен абонамент

1 лв. / седмица за 12 седмици Към офертата

Вижте абонаментните планове
15 коментара
  • Най-харесваните
  • Най-новите
  • Най-старите
  • 1
    zamen avatar :-|
    Чарли
    • - 4
    • + 33

    Толкова празноглава статия за програмиране и създаване на код отдавна не бях чел.

    Нередност?
  • 2
    korki avatar :-|
    Krasimir Koev
    • - 1
    • + 3

    Тъпа е да ,но последните 3 изречения са много важни.Жалко че в Бг няма бизнес за това....

    Нередност?
  • 3
    mitaka_mf avatar :-(
    Митака
    • + 16

    автоматизирани системи има от години. Проблема е, че тези системи са добри основно в тестванет на сигурност на приложения

    http://en.wikipedia.org/wiki/Fortify_Software

    Тестването на софтуер от много ниско ниво като опенССЛ е много трудна работа. Автоматичното сканиране в най-добрия случай изкарва толкова много фалшиви позитивни резултати, че се обезмисля практически. Хората са единственото решение, хората са и проблема

    Има и разни процесни рамки с спорна степен на успех.

    Единственият начин за 100% сигурност е да си хвърлим лаптопа в Дунава

    Нередност?
  • 4
    mitaka_mf avatar :-|
    Митака
    • - 2
    • + 2

    членуване пак , сори

    Нередност?
  • 5
    voxy avatar :-|
    voxy
    • - 1
    • + 12

    "трябва да се разработи и система, която да извършва проверки на софтуера"

    системи има, но предвид контекста, очевидно някой си въобразява че е възможна автоматизирана проверка на всичко и още по-очевидно че никога не е бил в софтуерната индустрия по какъвто и да е начин освен може би писане на простотии

    "единни стандарти при писането на софтуер"

    :))))))))))))))))))))))))

    Нередност?
  • 6
    anonymousx avatar :-|
    anonymousx
    • - 8
    • + 2

    А аз съм за строги, дори смъртни наказания за хакери-злодеи вместо вербуването им за ЦРУ или други сходни организации в нашата страна.

    Нередност?
  • 7
    xyha avatar :-?
    xyha
    • - 2
    • + 4

    Топ 10 проблеми на софтуера . Забележете че #1 е предотвратен от нашия човек :-)


    The duty officer for the system, one Lt Col Stanislav Petrov, intercepted the messages and flagged them as faulty, stopping the near-apocalypse.

    http://www.sundoginteractive.com/sunblog/posts/top-ten-most-infamous-software-bugs-of-all-time/

    Нередност?
  • 8
    epoc avatar :-|
    epoc
    • - 7
    • + 9

    Автора явно е получавал диви оргазми докато е писал тази невероятно глупава статия. Такива системи има от повече от 20 години, ама нещат да ги ползват, че струват пари.

    Ама разбира се с колежанско образование/техникум няма как човек да ги знае тези неща.

    А над всеки програмист стоят поне по 3-4 мениджъра, които гледат да гонят дедлайните и да пестят пари само и само да са най-великите. Затова единствените читави софтуери се пишат или за летищата или за управление на пътния трафик в реално време, там, където грешка е равносилно на смъртен случай.

    С/С++? Това са езици, които могат да накарат всеки загубеняк или индиец да се изживява като истински програмист. Точно тези езици позволяват не само да се напише всяка глупост, ами и да се компилира и изпълни. Лошото е, че 90% от ОС/приложенията са писани точно от загубеняци, а не от програмисти....

    Нередност?
  • 9
    m17 avatar :-|
    m17
    • + 4

    До коментар [#7] от "xyha":

    Не е българин а чист руснак. Още е жив, дал е няколко интервюта. Отделно твърди че това не е бил изолиран случаи а масова практика. И затова тая система са я спрели още преди края на студената война.

    Нередност?
  • 10
    m17 avatar :-|
    m17
    • + 2

    До коментар [#8] от "epoc":

    Айде да не се обиждаме на езици, то ООМ винаги дебне при
    езиците от 5 поколение и ефекта е същия като при дереференция на нулата.

    Нередност?
Нов коментар

Още от Капитал