Sorry, maar ik vind je strekking totaal verkeerd. Ik kom uit de Devops rol en ben zeer betrokken met security op dit moment. Daarnaast ook veel te maken gehad "change management" waardoor ik inzicht heb over de gehele organisatie en niet dat 'ene kleine' stukje waar jij het nu over hebt (onervaren programmeurs, etc.).
Ten eerste is een programmeur met alle respect een nobody binnen de organisatie. Ik bedoel dit niet inhoudelijk of persoonlijk, noch denigerend.
Echter draagt een programmeur maar beperkte verantwoordelijkheid. Misschien verantwoordelijk voor zijn stukje code, dat dit wel "goed" moet zijn. Desalnietemin zul je nog steeds processen moeten hebben die zulke dingen kunnen waarborgen. Dus om zo'n hack af te schuiven richting "onervaren mensen die APIs bouwen en beveiligen", vind ik wel heel erg gemakkelijk. Dit is puur kijken naar 'eerste' oorzaak en gevolg. Niet vanuit WAAR die oorzaak vandaan is gekomen.
Er kan net zo goed een project manager en/of IT manager zijn die zorgt draagt dat bepaalde doelen behaald worden. Ook op het gebied van testing & security. Je mag en kan niet verwachten dat 1 programmeur de gehele organisatorische verantwoordelijkheid draagd.
Ook al is een programmeur onbekwaam en/of onervaren. Dan ligt die verantwoording alsnog bij een manager / baas. Hier zijn ook letterlijk rechtsuitspraken op gedaan. Recent nog een casus geweest van een verpleegkundige die door onkunde een grove fout heeft gemaakt. De uitspraak was dat "bedrijf" onvoldoende begeleiding heeft gegeven. Hoewel de verpleegkundige dermate "slecht bezig was", had bedrijf dit moeten signaleren en adequaat op moeten reageren.
Het feit dat men vrijheid krijgt in architectuur is helemaal niet slecht en zeker niet de gehele oorzaak is bepaalde infra niet 'okay' is. Immers vind ik dat hier een rol van CTO of whatever een eindverantwoordelijke rol in moet spelen. In het geven van de vrijheid en waar nodig managen om bedrijfswaardes te waarborgen (en dus ook security, CISO

).
Zolang de big boss de waarde van gedegen producten niet inziet, er geen tijd en geld wordt geinvesteerd in kennis, kunde en rust, dan zal dit ook merkbaar zijn in de rest van de organisatie. Als er geen CISO is. Als er geen seniors zijn die ook nog ruimte krijgen om een veilig product te mogen ontwikkelen of hun kennis te delen met het rest van het team. Zeker als je alleen maar deadlines hebt en niet eens mag/kan werken aan test-cases, pen-tests, of whatever. Visa-versa ook als er geen gedegen mensen binnen de organisatie zitten die juist op een iets hoger niveau deze kernwaardes moeten overbrengen bij management. Maar laten we vooral die ene onervaren programmeur te schuld geven.
-----
Dat allemaal gezegd hebbende. Zolang er geen boeiende post mortem komt met daadwerkelijke details zit iedereen hier maar te gissen. Voor hetzelfde geld is eigenlijk alles best wel in orde en is er toevallig 1 stomme fout geweest. Misschien hebben ze vorige maand nog wel een volledige pen test gedaan en is er pas een nieuwe release geweest. Ik probeer het niet echt goed te praten, want uiteindelijk ben ik wel van mening dat dit echt wel voorkomen had moeten worden. Desalnietemin vind ik het te simpel om van die one-liners te roepen; "daar lag het aan". Want dat is pure onzin.