Fragen? Antworten! Siehe auch: Alternativlos
Und darüber ragte so der Schlot in den Himmel.
War eine skurrile Szene, fand ich.
Heute war mein Vortrag auf der Heise devsec zur Frage, wie wir unseren Code sicherer kriegen, daher war ich im Zug unterwegs. Ich halte es inzwischen für einen Fehler, Security von Qualität zu trennen, und finde, es ist an den Entwicklern, einfach keinen Code ohne Qualität anzubieten. Genauso wie man auch kein Haus ohne Dach und kein Fahrzeug ohne Bremse anbieten würde.
In meinem Vortrag ging es so ein bisschen anekdotenhaft um Dinge, die einen Auditor so Zeit kosten. Die These war: Code Audit ist wie Müll Rausbringen. Löst aber das Problem nicht nachhaltig, muss man trotzdem machen. Lasst uns wenigstens alles tun, damit das schmerzarm und effektiv vonstatten gehen kann. Ich glaube ja, wenn wir das Bottom-Up machen, und bei den leicht testbaren Basis-Funktionen anfangen, können wir so sedimentär einen Boden schaffen, auf dem man dann etwas solides bauen kann. Heute haben wir nicht mal Mittel und Wege, um das prognostizieren zu können, ob ein Code-Gebäude einstürzen wird, und wie fragil es ist. Wir haben nur Mittel, um einige Klassen von Beispielen für Fragilität zu finden.
Das muss anders werden. Und wie bei Umweltschutz muss man bei sich selbst anfangen. Wenn der Chef unrealistische Forderungen aufstellt, dann macht man keine Überstunden, sondern reißt die Deadline. Und zwar je krasser, desto besser. Das ist der Indikator, an dem der Chef erkennt, dass seine Forderung unrealistisch ist. Den dürfen wir ihm nicht wegnehmen, indem wir Überstunden machen oder dann halt Pfusch abliefern, der uns später allen um die Ohren fliegt.
Update: Morgen halte ich auf den Internet Security Days eine leicht erweiterte Version meines Hypetech-Vortrags. In dem geht es, ihr erinnert euch vielleicht, um Blockchain und KI. Und parallel auf der Veranstaltung liegt jetzt, sehe ich gerade: "KI meets Security". Also Humor haben die Veranstalter hier jedenfalls :-)