Как вы считаете, может ли безопасность в
разработке программного обеспечения быть
внедрена в инструменты разработки, причем
не мешать при этом самим программистам?
Ну, текущее положение дел определенно
говорит что да. Многие улучшения фактически
увеличивают производительность труда
программиста, убирая рутинные операции
типа управления памятью или определения
потенциальных ошибок на стадии компиляции.
Это все спасает дни работы. К тому же такие
инструменты предполагают комментирование
кода, что помогает другим работникам
понимать код. Очевидно, что нет никаких
свидетельств того, что например sparse
замедлил работы над ядром, или управление
памятью в Java сильно мешает работе с этим
языком. Утилиты лишь делают то, что нудно
делать руками. Плохие инструменты могут
мешать, но хорошие - никогда.
Есть ли некий уровень, на котором
безопасность и свобода личности начинают
вступать в конфликт? Можно ли в этом найти
конец open-source софту, созданном небольшими
группами людей?
Конечно есть области, где они
объединяются, очевидно это критические с
точки зрения безопасности системы. Я думаю
никто не захочет, что бы работники атомной
станции лазили в интернете, например. Есть
системы безопасности, такие как 'trusted computing' ,
которые могут применяться большими
корпорациями для блокирования инноваций и
юридического преследования инноваций, и
похоже правительство ЕС помогает скорее им,
а не гражданам. Некомпетентна ли комиссия
ЕС, просто бездарна или скорее дезинформирована,
но результаты ее работы не слишком радостны.
Можно хорошо видеть, что та же Microsoft продает
нам X-Box и тут же запрещает целиком им
пользоваться.
Однако те же самые инструменты ценны и для
конечного пользователя, если он управляет
ими. Например, те же криптографические
технологии, что будут защищать
операционную систему Apple, работающую на х86
процессорах, поможет мне сохранить в
целостности данные на ноутбуке в случае его
кражи или потери. Это всего лишь инструмент,
но инструмент которым очень легко можно
злоупотребить. Для домовладельца
безопасный дом хорош, но до тех пор, пока он
не потеряет ключ... То же самое и с
технологией TCPA (Trusted Computing Platform Alliance, ныне
Trusted Computing Group).
Где же та сила, которая заставит
внедрять безопасный софт? Похоже, что
государственное регулирование единственный
путь защитить пользователей?
Ну, в настоящий момент это стоимость
восстановления систем. Другой стимул - законодательное
регулирование защиты данных, а так же
открытость, гласность. В будущем такой
силой могут стать судебные процессы, если
некомпетентно управляемая компьютерная
система так или иначе навредит
пользователю, или же инициативы могут
исходить правительства. В теории, при
хорошем развитии событий, так как положение
дел с безопасностью улучшается, мы получаем
все более высокие стандарты и те, кто их не в
состоянии поддерживать на достойном уровне
очевидно выглядят не в очень хорошем свете.
Очевидно, что есть и плохой вариант
развития событий - если кто-либо развяжет
настоящую Интернет-войну и придется
принимать законодательные акты на бегу. В
таком случае почти наверняка у этого будет
плохой исход...
