onsdag 27 januari 2010

Utvecklare på Jfokus men inte på AppSec

Igår och idag har jag bevistat Javakonferensen Jfokus. Föredraget om 97 Things Every Programmer Should Know var intressant. Jag valde det framför det enda bidraget om säkerhet.

Men under konferensen var det bara en sak som verkligen fick mig att rycka till. Det var när Dan North frågade publiken "Are there any developers here?"

... och hela föreläsningssalen räckte upp handen.

Så brukar det nämligen inte se ut på andra konferenser jag går på. Samma fråga ställs men bara två-tre händer sträcks upp. Där har vi som community en utmaning. Applikationssäkerhet måste bli sexigare.

Vägen dit tror jag är att låta utvecklare få prova att knäcka system. Under de kurser jag ger inom applikationssäkerhet ser jag nämligen hur det glittrar i ögonen på alla som får bryta sig in i en applikation. Att lära sig hacka system är helt enkelt sexigt.

2 kommentarer:

Erik Tjernlund sa...

Hur åstadkommer vi det motsatta då? Att säkerhetsfolket provar på att skriva kod och utveckla lite? Det tror jag behövs också (vilket ju OWASP är ett exempel på iofs ... )

John Wilander sa...

Ja du ... Att peta på säkerhetsfolket är IMHO en större uppgift. De flesta är överens om att det är lättare för en utvecklare att lära sig säkerhet än för en säkerhetsexpert att lära sig utveckling. Systemutveckling är helt enkelt ett "större hantverk" att omfamna.

Men det är helt klart nödvändigt att båda parter rör på sig. Precis som att IT-människor och affärsmänniskor måste kommunicera och förstå varann.

Intressant nog så är säkerhet ett av få områden som ligger nära utveckling men ändå har blivit en egen disciplin med egna sanningar och människor. GUI-design är ett annat exempel, men i de flesta fall såsom prestanda, drift, test, arkitektur och förvaltningsbarhet så har utvecklarna omfamnat det ... i viss mån.

Min magkänsla är att utvecklare är mer benägna att röra på sig. Bara budskapet är sexigt nog. Utvecklarna är dessutom magnituder fler så det gör större skillnad.