Keurmerk voor veilige programmeurs in de maak

Het gaat waarschijnlijk (voornamelijk) om applicaties die nu nog onderhouden worden en geloof me dat zijn er best nog veel. En bij onderhoud wordt er ook nog wel wat security issues (erbij) gefixed.

Ja natuurlijk draait er nog veel op Perl, maar er wordt volgens mij niet zo heel veel meer in ontwikkeld op dit moment. Prachtig dat er nog zo veel op draait maar dat heeft natuurlijk weinig met dit keurmerk te maken, dat is voornamelijk belangrijk voor nieuwe projecten.

Wel een goed initiatief.

Dus het kind dat ooit net zijn zwemdiploma heeft weten te halen (hij kent de theorie) en verder nooit water gezien heeft, gooi je vol vertrouwen in het zwembad

Om het even in de goede context te gooien: Het lijkt me sterk dat je ooit een "programmeur" zult aannemen die nog geen regel code heeft geproduceerd.

Als de persoon in kwestie gewoon een goede programmeur is zal hij dit diploma ook wel kunnen halen, en een diploma blijft natuurlijk een makkelijke methode om een bepaald basisniveau te kunnen garanderen, en de slechte programmeurs er uit te plukken.

Het gaat erom dat degene met het papiertje iets heeft aangetoond, diegene zonder papiertje wellicht niet. Dat kind dat kan zwemmen maar geen diploma heeft, gooi je niet met een gerust hart het water in als je die nog nooit eerder hebt zien zwemmen (of een vertrouwd persoon beweert dat dat goed gaat). Je wilt een zekere mate van zekerheid.

Hetzelfde geldt voor dit keurmerk. Zoals ik zei is het een extra'tje. De programmeur bewijst ermee een zekere mate van kennis en kunde te hebben. Erg handig in de gevallen dat je geen ervaring met desbetreffende persoon hebt.

Een kind met een zwemdiploma heeft altijd in de praktijk moeten leren zwemem en moeten afzwemmen.
Die vergelijking gaat dus mank.

En de vergelijking met de verkeersregels gaat ook mank. Je gaat er namelijk vanuit dat programmeurs wel weten hoe het moet, maar zich er niet aan houden.
Het tegendeel is echter waar. De overgrote meerderheid van de programmeurs weten niet eens hoe het zou moeten.

Het zal het gemiddelde kennisnivo van de programmeurs verhogen, en daarmee wel degelijk meer invloed hebben dan alleen maar een melding op een CV.

Zelf geen zwemdiploma's op zak zeker?! Dan zou je namelijk weten dat het volgen van zwemles een vereiste is voor het behalen van een zwemdiploma. Een zwemdiploma bestaat niet uit een theorie- en praktijkdeel.

Het is toch handig als de 'hacker' de triviale dingen er niet meer uit hoeft te halen omdat de programmeur die er niet in stopt?
Als je een gecertificeerde programmeur hebt, kun je er meer op vertrouwen dat hij oog heeft voor beveiligingsissues en daarop anticipeert.

Dat een programmeur het toch voor elkaar krijgt in ren je rot trajecten heeft meer te maken met het feit dat die persoon overuren gaat draaien om het voorelkaar te krijgen.

Als die programmeur gewoon zijn 8 uur per dag zou draaien krijgt ie het ook niet voorelkaar voor de deadline. Soms is het ook een spelletje waarbij een manager hoopt dat de programmeurs overuren gaan draaien om een eigenlijk te krappe deadline te halen en dat alles technisch en security technisch nog steeds goed in elkaar zit.
Maar als die programmeurs dat niet van plan zijn dan worden er consessies gedaan. 1 er van is security.

Een docent gaf eens een goede opmerking waar ik helemaal achter sta. "Als je geen tijd krijgt om security te programmeren is het niet jouw probleem".
Op de standaard kleine programeer technische zaken na zoals het Microsoft 70-340 Implementing Security certificaat kost het gericht veilig programmeren kennis in wat er allemaal fout kan gaan en daarmee dus tijd op vele fronten. Niet alleen een programmeur moet weten welke exploits er mogelijk zijn maar ook een tester.
Als een manager daar niet gericht op stuurt dan is het ook niet je probleem. Mocht je moeite hebben met bovenstaande opmerking dan heb je niet begrepen wat die zin inhoudt.

Ik ben het er mee eens dat je met meerdere mensen aan een programma moet werken om het echt goed te krijgen. Maar vaak is een gebrek aan geld en een gebrek aan het inzien van het feit dat programmeren helemaal niet snel gaat( helemaal als security er bij komt kijken) er de oorzaak van dat er veel security problemen zijn.

Managers en bedrijven in Nederland moeten eens inzien dat goede software een kwestie is van genoeg tijd hebben. Het constant beknibbelen op het budget omdat je eigenlijk niet wilt inzien dat maatwerk gewoon veel kost is de bron van alle problemen.

In de basis is dit keurmerk dus een goed ding. Programmeurs worden gewezen op een aantal zaken en kunnen er gerichter naar kijken maar dit wordt dan weer te niet gedaan als die programmeur vervolgens te weinig tijd heeft om het ook uit te voeren.

Bovendien zijn heel veel security problemen gemakkelijk te voorkomen door bepaalde gewoontes aan en andere juist af te leren.

Zo moet je niet dit doen:

Query query = connection.createQuery("SELECT * FROM users WHERE username = '" + username + "' and password = '" + password);
query.execute();

maar

Query query = connection.createQuery("SELECT * FROM USERS WHERE username = ? AND password = ?");
query.setString(0, username);
query.setString(1, password);
query.execute();

(syntax verzonnen, maar het lijkt hier op in Java)

Dan escaped de API namelijk netjes de parameters voor je, zodat SQL injection onmogelijk wordt. Zulke dingetjes zijn API / taal specifiek. Dus waarom niet een taal specifiek examen? Bovendien moet je niet vergeten dat sommige mensen al jaren in de praktijk zitten en het IT landschap enorm veranderd is sinds ze van school zijn. Bijspijkeren kan nooit kwaad.

Tsja, ik heb net weer even door de beschikbare programmeurs/SAs van een groot IT bedrijf mogen lopen om wat mensen te vinden voor een project. Dan schrik je toch wel van de inhoud van sommige CVs Bij interviews blijken de mooiste CVs bij mensen te horen waar je niets aan hebt terwijl mensen met een CV zonder veel certificaten maar met echte projecten vaak veel bruikbaarder blijken.

Veel veiligheidsproblemen zoals SQL-injectie liggen NIET aan de omgeving, maar aan de programmeur.

Het is juist heel goed dat programmeurs op z'n minst bewust gemaakt worden van manieren waarop security leaks ontstaan en wat je moet doen om dat soort problemen te voorkomen. Dat zouden studenten op elke informatica-opleiding moeten leren.

Hier nog een voorbeeld: Slechte en goede CAPTCHA's. Veel te vaak komt het voor dat programmeurs maar iets uit hun duim zuigen wat niet gebaseerd is op degelijk onderzoek.