Fragen? Antworten! Siehe auch: Alternativlos
Diese Einstellung hört man glücklicherweise inzwischen nur noch sehr selten, und das begrüße ich. Meiner Erfahrung nach sind Entwickler im Allgemeinen interessiert daran, eine gute Arbeit zu machen. Und das beinhaltet: Keine Sicherheitslücken produzieren.
Ich habe schon häufig erlebt, dass Entwickler mit mir über Bugs verhandelt haben, aber das hatte immer falsche Anreize in der Organisation als Hintergrund. Sowas wie: Ich kriege einen Bonus, wenn ich keine Bugs habe. Du hast hier gerade Bugs aufgemacht, das killt meinen Bonus, daher bestreite ich die jetzt alle.
Man stelle sich mal vor, ein Architekt argumentiere so. Sagen wir mal: Ein Klimaforscher sagt: Wir haben Klimawandel, die Stürme werden stärker, ihr müsst eure Statik jetzt auf mehr Windstärke auslegen. Und die Architekten sagen dann: Der böse Klimaforscher hat mir gar nicht erklärt, was ich da genau tun muss jetzt!1!!
Undenkbar, da sind wir uns hoffentlich alle einig. Das sollten wir auch Software-Entwicklern nicht durchgehen lassen. Glücklicherweise kommt das auch jetzt schon so gut wie nicht vor, jedenfalls meiner Erfahrung nach.
Update: Ich sollte das nochmal explizit sagen: Das ist nicht die Realität. Jedenfalls nicht in meiner Erfahrung. Der Report erwähnt mindestens den Fachbegriff Integer Overflow, danach kannst du googeln und dann findest du, wie man das fixt. Oder der Report verweist auf intsafe/safeint oder die entsprechenden gcc/clang-Builtins. Und das ist auch bei ... weniger seriösen Marktteilnehmern so, weil das ein einfacher Weg ist, den Report zu strecken. Daher ist das eine akademische Diskussion hier. Ich bin aber der Meinung, dass jemand, der nicht weiß, was ein Zertifikat kaputt macht, die Finger von Code lassen sollte, der mit Zertifikaten hantiert.