Директор по безопасности Oracle: «вы бы не сели на самолет, построенный программистами»

Выступив в четверг на конференции WWW2006 в Эдинбурге, Мэри-Энн Дэвидсон заявила, что «большинство программистов не обучено думать в терминах безопасности и надежности» и вместо этого они насаждают культуру «patch, patch, patch», что обходится отрасли в $59 млрд. Она утверждает также, что британцы особенно хорошие хакеры, так как «их характер идеален для хакерства — они технически образованы, не очень уважают власти и чуточку склонны к криминальному поведению».

Характеризуя состояние индустрии программного обеспечения и безопасности в целом, Дэвидсон сказала, что проблема ненадежного и небезопасного ПО становится все острее и что индустрия достигла «критической точки». «Директора жалуются, что то ПО, которое они получают от своих поставщиков, неприемлемо с точки зрения безопасности».

Дела в бизнесе программного обеспечения обстоят настолько плохо, что теперь это «проблема национальной безопасности», и на повестке дня стоит принятие соответствующих законов, заявила Дэвидсон. «Недавно я провела неформальный опрос директоров по безопасности в CSO Council , и многие из них согласились, что отрасль требует государственного регулирования». Если это случится, отрасль должна пенять только на себя, сказала Дэвидсон. «Индустрия не желает регулирования, но если вы его не хотите, то сами должны работать лучше».

Дэвидсон указала также на «хакерский менталитет», приводящий к тому, что эксплойты, способные причинить «ущерб на миллион долларов… свободно распространяются на конференциях». По ее словам, существует большая разница между теми, кто работает в бизнесе программного обеспечения, и инженерами, «обученными думать в первую очередь о безопасности и надежности».

«Что, если строители станут строить мосты так же, как программисты пишут код? Тогда утром по пути на работу вы можете очутиться на синем мосту смерти», — заключила она.

ZDNet.ru