1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Das Jahr, in dem die…

Schon mal Software geschrieben?

  1. Thema

Neues Thema Ansicht wechseln


  1. Schon mal Software geschrieben?

    Autor: Gamma Ray Burst 10.01.18 - 14:38

    Da wundert einen nichts mehr, außer vielleicht das der Krempel am Ende tatsächlich läuft.


    Das Problem ist das Testing, das wurde sehr lange stiefmütterlich behandelt, und hat erst in den letzten 10 Jahren mehr Zuspruch gefunden (auch Asche über mein Haupt). Von der Dokumentation reden wir da besser gar nicht.

    Die bittere Wahrheit ist, dass sobald welche Entwicklungsumgebung auch immer mal stabil ist, diese auch als Blaupause für die Produktion dient.

    So werden dann auch die eher liberalen Sicherheitseinstellungen aus der Entwicklung in die Produktion gekippt (Standard Argumente: Ist jetzt nicht wichtig, Machen wir später).

    Außerdem ist Security für Entwickler ein Sche*ss Thema, ich kenne sehr wenige Entwickler die das wirklich ernst nehmen (viele halten sich für Kreative, für die die Physik nicht gilt).

    Gegenmittel: Frühes Testen (nicht nach Abschluss Entwicklung), Viele Prototypen, Frühe Etablierung der DevOps Prozesse, Entwicklung vom GoingLive betrachten, frühe Einbindung der Tester (parallel zur Entwicklung), starke Deployment Umgebung/Prozesse, frühes Dokumentieren.

    Wichtig ist auch, dass das Management dies fördert (oft nicht der Fall).

    Qualität und Sicherheit fallen halt nicht vom Himmel, dass muss man sich - mühselig - erarbeiten.


    Schätze mal das Chip Entwicklung nicht groß anders ist...

  2. Re: Schon mal Software geschrieben?

    Autor: Micha12345 10.01.18 - 16:38

    Gamma Ray Burst schrieb:
    > Gegenmittel: Frühes Testen (nicht nach Abschluss Entwicklung), Viele
    > Prototypen, Frühe Etablierung der DevOps Prozesse, Entwicklung vom
    > GoingLive betrachten, frühe Einbindung der Tester (parallel zur
    > Entwicklung), starke Deployment Umgebung/Prozesse, frühes Dokumentieren.

    Totaler Blödsinn, was du da schreibst.

    Um die Sicherheit einer Software zu erhöhen hilft nur
    - weniger anfällige Programmiersprachen verwenden (z.B. Rust)
    - regelmäßige Code-Reviews und Code-Audits
    - regelmäßige Sensibilisierung und Schulung für Sicherheitsaspekte der Entwickler

  3. Re: Schon mal Software geschrieben?

    Autor: Nikolai 10.01.18 - 16:46

    > (viele halten sich für
    > Kreative, für die die Physik nicht gilt).

    Und ich dachte es reicht die Physik einfach per Konfigurationsparameter auszuschalten... ;-)

  4. Re: Schon mal Software geschrieben?

    Autor: corruption 10.01.18 - 18:11

    All die Tests die du beschreibst werden in unserer Firma durchgeführt. Diese Tests haben aber NICHTS mit dieser Art von Software-Security zutun.

    Wenn eine benutzte Library oder Software ein Security Problem, z.B. eine Use-After-Free Lücke aufweißt findest du die eben nicht durch solche Tests.
    Da hilft bei größeren Librarys wie z.B. Openssl nur die Analyse von Experten und dann immer die Patches übernehmen und bei den Kunden die Software schnellstmöglich updaten! Auch seine eigene Software sollte man ggf von Security-Experten prüfen lassen, aber selbst dann bleibt ein Restrisiko vorhanden...

    Du hast also offensichtlich das Problem nicht richtig verstanden, nehme ich an. Oder dein Beitrag ist Off-Topic.



    2 mal bearbeitet, zuletzt am 10.01.18 18:13 durch corruption.

  5. Re: Schon mal Software geschrieben?

    Autor: Gamma Ray Burst 10.01.18 - 18:16

    Micha12345 schrieb:
    --------------------------------------------------------------------------------
    > Gamma Ray Burst schrieb:
    > > Gegenmittel: Frühes Testen (nicht nach Abschluss Entwicklung), Viele
    > > Prototypen, Frühe Etablierung der DevOps Prozesse, Entwicklung vom
    > > GoingLive betrachten, frühe Einbindung der Tester (parallel zur
    > > Entwicklung), starke Deployment Umgebung/Prozesse, frühes Dokumentieren.
    >
    > Totaler Blödsinn, was du da schreibst.
    >
    > Um die Sicherheit einer Software zu erhöhen hilft nur
    > - weniger anfällige Programmiersprachen verwenden (z.B. Rust)
    > - regelmäßige Code-Reviews und Code-Audits
    > - regelmäßige Sensibilisierung und Schulung für Sicherheitsaspekte der
    > Entwickler

    Ja das ist ja mal ausgewogen... abgesehen von der destruktiven Einleitung... ja Audits und Reviews können helfen, kratzen aber oft nur an der Oberfläche (wer macht schon einen Audit von ALLEM) ... Sensibilisierung ist nett, hilft aber nicht die intrinsische Motivation der Entwickler zu verbessern (die reagieren eher genervt) ... Programmiersprache ... da hast Du einfach so die gesamte Architektur aus dem Blick verloren.

    Naja besser als nichts.

  6. Re: Schon mal Software geschrieben?

    Autor: Gamma Ray Burst 10.01.18 - 18:17

    Nikolai schrieb:
    --------------------------------------------------------------------------------
    > > (viele halten sich für
    > > Kreative, für die die Physik nicht gilt).
    >
    > Und ich dachte es reicht die Physik einfach per Konfigurationsparameter
    > auszuschalten... ;-)

    Das geht nur bei Physik Engines... leider sind nicht alle Software Projekte Spiele... ;-)

  7. Re: Schon mal Software geschrieben?

    Autor: Gamma Ray Burst 10.01.18 - 18:28

    corruption schrieb:
    --------------------------------------------------------------------------------
    > All die Tests die du beschreibst werden in unserer Firma durchgeführt.
    > Diese Tests haben aber NICHTS mit dieser Art von Software-Security zutun.
    >
    > Wenn eine benutzte Library oder Software ein Security Problem, z.B. eine
    > Use-After-Free Lücke aufweißt findest du die eben nicht durch solche
    > Tests.
    > Da hilft bei größeren Librarys wie z.B. Openssl nur die Analyse von
    > Experten und dann immer die Patches übernehmen und bei den Kunden die
    > Software schnellstmöglich updaten! Auch seine eigene Software sollte man
    > ggf von Security-Experten prüfen lassen, aber selbst dann bleibt ein
    > Restrisiko vorhanden...
    >
    > Du hast also offensichtlich das Problem nicht richtig verstanden, nehme ich
    > an. Oder dein Beitrag ist Off-Topic.

    Ja entweder gezielt Updaten oder den gesamten Stack analysieren.

    Den gesamten Stack zu analysieren setzt allerdings gewaltige Ressourcen voraus.

    Meiner Meinung nach hilft da am ehesten die Stack Heterogenität gering zu halten.

    Ich meine, wenn man sich so ansieht was da so alles bei einem yum -y update an einem vorbeirauscht, oder man schaut sich mal die Abhängigkeiten von zB von Chef an... soll mit einer erzählen wie er da im Detail den Überblick behält.

    Ist ja nicht alles sicherheitsrelevant aber es gibt da genug Stellen wo man backdoors einbauen könnte oder irgendjemand ein default User vergessen haben kann.

    Oder wo man irgendwas mit root Rechten laufen lässt (nur weil es halt nicht anders ging).

  8. Re: Schon mal Software geschrieben?

    Autor: Luke321 10.01.18 - 22:23

    Gamma Ray Burst schrieb:
    --------------------------------------------------------------------------------
    > Das geht nur bei Physik Engines... leider sind nicht alle Software Projekte
    > Spiele... ;-)

    Ist nicht das ganze Leben ein Spiel? ;-)

  9. Re: Schon mal Software geschrieben?

    Autor: minnime 11.01.18 - 12:54

    Eines der Probleme ist auch, dass Sicherheit so verdammt schwierig ist(Security, Safety weniger). Schaut euch doch mal die üblichen Sicherheitslücken an, da braucht es schon recht viel Kreativität. Bestes Beispiel ist doch Meltdown. Ich wäre im Leben nicht darauf gekommen überhaupt zu prüfen ob solche Effekte vorliegen. Es braucht also zunächst eine erhebliche Weiterbildung um Sicherheitsaspekte überhaupt beachten zu können.

  10. Re: Schon mal Software geschrieben?

    Autor: chithanh 11.01.18 - 14:56

    Ein Problem ist auch die zunehmende Akzeptanz von "responsible disclosure". Das erlaubt es, Software mit vermuteten oder intern bekannten Sicherheitsproblemen auf den Markt zu werfen, weil man ja (in der Regel) 90 Tage Zeit hat, die Lücken zu schließen, falls jemand anderes sie finden sollte.

  11. Re: Schon mal Software geschrieben?

    Autor: Micha12345 11.01.18 - 14:59

    Gamma Ray Burst schrieb:

    > Audits und Reviews können helfen, kratzen aber oft nur an
    > der Oberfläche (wer macht schon einen Audit von ALLEM)
    Wenn Audits und Reviews nur an der Oberfläche kratzen, macht man sie entweder zu unregelmäßig bzw. zu selten (Fehler in der Planung), sie haben einen zu geringen Umfang (ebenfalls ein Fehler in der Planung) oder der Auditor ist seiner Aufgabe nicht gewachsen (Fehler in der Besetzung).

    > ... Sensibilisierung
    > ist nett, hilft aber nicht die intrinsische Motivation der Entwickler zu
    > verbessern (die reagieren eher genervt)
    Wenn deine Entwickler dem Thema Sicherheit trotz entsprechender Schulung mit Gleichgültigkeit begegnen (denn dass bedeutet die von dir angeführte fehlende intrinsische Motivation), dann war entweder die Schulung schlecht / nicht ausreichend (sprich: Nachschulen), du hast Entwickler, die aufgrund ihrer Persönlichkeit ungeeignet sind (sprich: Austauschen) oder Entwickler, die überfordert sind (Fehler in der Personalplanung).
    Wenn Entwickler genervt reagieren, ist das meist ein super-großes Warnzeichen dafür, dass sie überfordert sind. Typischerweise sind Aufgaben unklar definiert, Arbeitspakete mit zu wenig Zeit versehen oder die Aufgaben übersteigen ihre gegenwärtigen fachlichen Fähigkeiten. Typischerweise alles Planungsfehler, die man mit der SMART-Methode beheben kann. Dazu Arbeitspakete einfach daraufhin abklopfen, ob sie Spezifisch (genau beschrieben), Messbar (nach welchen objektiven Kriterien ist eine Aufgabe erfüllt), Akzeptiert (nimmt dein Entwickler die Aufgabe wirklich an), Realistisch (Kann dein Entwickler die Aufgabe auch lösen) und Termin-orientiert (bis zu welchem exakten Datum muss die Aufgabe fertig werden) sind.

    > ... Programmiersprache ... da hast
    > Du einfach so die gesamte Architektur aus dem Blick verloren.
    Der Aspekt der Sicherheit muss innerhalb der Planungsphase sowohl bei der Risiko-Analyse als auch bei der Auswahl der einzusetzenden Programmiersprache unbedingt betrachtet werden.

    Wenn du allerdings eine Architektur entwirfst und dir erst danach Gedanken über Risiken und Programmiersprache machst, ist deine gesamte Planung für den Arsch.

    Wenn ein Projekt schon so anfängt, sollte man gleich die Finger davon lassen

  12. Re: Schon mal Software geschrieben?

    Autor: Baron Münchhausen. 12.01.18 - 10:02

    Viel spaß beim durchtesten von 20.000 verschiedener Fällen... Und das nach jeder source änderung. Da rufe ich dich an und bitte um ein auditing...



    1 mal bearbeitet, zuletzt am 12.01.18 10:02 durch Baron Münchhausen..

  13. Re: Schon mal Software geschrieben?

    Autor: bombinho 13.01.18 - 15:33

    Klingt optimal hat aber voellig die betriebswirtschaftlichen Aspekte aus den Augen verloren. Der Entwickler soll doch am Rand seiner Leistungsfaehigkeit betrieben werden (das kann man sicherstellen durch leichte Ueberlast) um den Kosten/Nutzen-Faktor so guenstig wie moeglich zu halten.

    Deine Loesung sieht also vor, die Entwickler immer unterhalb ihrer Leistungsfaehigkeit zu halten und die zusaetzliche Verwaltung wird dann gemacht von? Mehr Personal?

    Das musst du du erst einmal denjenigen nahebringen, die den Rotstift schwingen, dass du mehr Entwickler brauchst, damit diese nicht an ihre Grenzen kommen und zusaetzliches Personal, welches diesen dann die laestigen Verwaltungstaetigkeiten abnimmt.

    Ja, du hast recht so waere es wirklich gut, aber wenn man mal so mitliest, dann scheint ein solches Arbeitsumfeld eben so haeufig zu sein wie eine ganzjaehrig von den Mitarbeitern nutzbare Dachterasse mit Sandstrand und Pool nebst kostenlosen alkoholischen Getraenken serviert von leichtbekleidetem Barpersonal fuer die Mittagspause.

    Realistisch ist es eher, dass der Druck so gross ist, dass selbst fuer eine Automatisierung von wiederkehrenden Arbeiten meist keine Zeit uebrigbleibt oder sich muehsam erkaempft werden muss, wenn es wirklich schon eigentlich zu spaet ist.

  14. Re: Schon mal Software geschrieben?

    Autor: cpt.dirk 14.01.18 - 12:29

    Vielleicht stellt sich dieser verordnete "Realismus" mittlerweile aber als nicht mehr realistischerweise haltbar dar.

    Ich frage mich, wie z. B. die großen Softwarehäuser vor der dem Platzen IT-Blase überleben konnten, als Geld keinerlei Rolle spielte, die Entwickler noch im Schlaraffenland lebten und geradezu fürstliche Gehälter kassierten.

    Klar hat mittlerweile ein stärkerer Konkurrenzdruck eingesetzt, aber Viele der in der Folgezeit mit eiserner Faust geführten Konsolidierungsmaßnahmen dürften wohl von auf Gewinnoptimierung getrimmte "Sanierungsmanager" als Trittbrettfahrer des damaligen "IT-Crashs" auf den Weg gebracht worden sein, was so in der Form niemals erforderlich gewesen wäre, sehr zur Freude der ihnen verbundenen Aktionäre

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Senior PHP Entwickler (m/w/d)
    Hays AG, Schleswig-Holstein
  2. Digital Officer (m/w/d)
    Richter-Helm BioLogics GmbH & Co. KG, Hamburg
  3. IT Senior Softwareentwickler (m/w/d)
    CG Car-Garantie Versicherungs-AG, Freiburg im Breisgau
  4. SAP SCM Berater (m/w/d)
    Hays AG, Günzburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 149€ (Bestpreis mit MediaMarkt & Saturn. Vergleichspreis 219,19€)
  2. 149€ oder 139€ bei Newsletter-Anmeldung (Bestpreis mit Amazon (149€). Vergleichspreis 219...
  3. 3,99€
  4. gratis


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dragonbox-Pyra-Macher im Interview: Die Linux-Spielekonsole aus Deutschland
Dragonbox-Pyra-Macher im Interview
Die Linux-Spielekonsole aus Deutschland

Mit viel Verspätung ist die Dragonbox Pyra erschienen. Entwickler Michael Mrozek musste ganz schön kämpfen, damit es überhaupt dazu kam. Wir haben ihn in Ingolstadt zum Gespräch getroffen.
Ein Interview von Martin Wolf


    Army of the Dead: Tote Pixel schocken Zuschauer mehr als blutrünstige Zombies
    Army of the Dead
    Tote Pixel schocken Zuschauer mehr als blutrünstige Zombies

    Army of the Dead bei Netflix zeigt Zombies und Gewalt. Viele Zuschauer erschrecken jedoch viel mehr wegen toter Pixel auf ihrem Fernseher.
    Ein Bericht von Daniel Pook

    1. Merchandise Netflix eröffnet Fanklamotten-Onlineshop
    2. eBPF Netflix verfolgt TCP-Fluss fast in Echtzeit
    3. Urteil rechtskräftig Netflix darf Preise nicht beliebig erhöhen

    Neues Apple TV 4K im Test: Teures Streaming-Gerät mit guter Fernbedienung
    Neues Apple TV 4K im Test
    Teures Streaming-Gerät mit guter Fernbedienung

    Beim neuen Apple TV 4K hat sich Apple eine ungewöhnliche Steuerung einfallen lassen, die aber im Alltag eher eine Spielerei ist.
    Ein Test von Ingo Pakalski

    1. Shareplay TVOS 15 soll gemeinsame Streaming-Erlebnisse schaffen
    2. Apple TV Farbkalibrierung per iPhone schneidet schlecht ab
    3. Sofasuche beendet Airtag-Hülle für Apple-TV-Fernbedienung