I november i fjor publiserte analyseselskapet Gartner et notat om utviklere og deres forhold til sikkerhet i applikasjoner. Notatet fikk tittelen Applikasjonsutviklere må ta ansvar for sikkerhet i applikasjonene (Application Developers Should Assume Responsibility for Application Security), og inneholdt blant annet denne kraftsalven:
– Applikasjonsutviklere går alt for ofte ut fra at applikasjonssikkerhet er et ansvarsområde forbeholdt profesjonelle innen sikkerhet. De antar at deres eneste ansvar er å levere funksjonaliteten som deres kunder krever. De analyserer, konstruerer, programmerer og tester applikasjoner for å forsikre seg at applikasjonene er i tråd med kundenes kravspesifikasjon. De tester ikke applikasjoner for forhold som kan føre til at applikasjonene brytes eller misbrukes. Applikasjonssikkerhet burde være en disiplin med egen teknologi og metodologi for å bygge applikasjoner som er i stand til å motstå angrep rettet mot deres kvalitet. Tiltak for applikasjonssikkerhet burde legges inn i hver fase i alle former for programvareutvikling, fra analyse til konstruksjon, programmering, testing, utlegging og drift.
Kraftsalven gjenspeiler at utviklere av bedriftsapplikasjoner ikke er spesielt forskjellige fra dem som for eksempel arbeider med Windows og Office i Microsoft, der ledelsen i 2003 måtte sette i gang en form for kulturrevolusjon med tiltak innen alt fra holdninger til metodikk, for å få programvaren opp på et akseptabelt kvalitetsnivå.
_logo.svg.png){kind=logo}
IT-sikkerhetsselskapet Sans Institute kunngjorde i går et initiativ som kan bidra til å innlede en tilsvarende omveltning hos utviklere og konsulenter. De har dannet en koalisjon bestående blant annet av Symantec, uniper, Siemens, Tata Group, Fortify Software, Tipping Point og Virginia Tech, som foreslår en ordning med sikkerhetssertifisering av utviklere.
Sertifisering betinger at en utvikler består en eksamen der kunnskapen til sikker koding settes på prøve.
Det vil tilbys fire ulike eksamener, innen hver av utviklerplattformene C/C++, Java/J2EE, Perl/PHP og .Net/ASP.
De første eksamenene vil tilbys som ledd i et pilotprogram i den amerikanske hovedstaden Washington DC. Deretter vil de tilbys over hele verden.
I en skriftlig erklæring sier forskningsdirektør Alan Paller i Sans Institute at hensikten er både å gi utviklere opplæring, og gi kunder et middel til å finne utviklere som har solide kunnskaper innen sikkerhet. Paller mener at organisert kriminalitet i stadig større grad vil angripe sårbarheter i bedriftsapplikasjoner.
– Med gode kunnskaper kan programmerere redusere risikoen for tap utløst av angrep utenfra. Sertifiseringen vil gjøre sikkerhetsbevisste programmere synlige i et stadig mer konkurransepreget marked.
Sans Institute viser til undersøkelser gjort av den ideelle organisasjonen Mitre, der over 7000 sårbarheter ble gjennomgått i fjor.
– De fleste av disse kunne vært avdekket svært enkelt, med teknikker som krever lite ekspertise, heter det i en erklæring fra Mitre.
Mitre sier at når de står overfor påviste sårbarheter i deres produkter, reagerer utviklerne første med sjokk, så med sinne, før de til slutt erkjenner de faktiske forholdene.
– De fleste universiteter og høyskoler lærer ikke programmerere å skrive sikker kode. Det er påkrevd med en revolusjon, hevder Mitre.
Sertifiseringsordningen legges formelt inn under GIAC (Global Incident Analysis Center) som allerede sertifiserer andre områder for spesialkunnskap innen sikkerhet. Bestått eksamen vil gi anledning til å pynte seg med tittelen GIAC Secure Software Programmer.
