Dziś miało miejsce kolejne spotkanie OWASP. W trakcie rozwinęła się dyskusja jak zachęcić większą ilość ludzi do przychodzenia na takie spotkania. W szczególności chodzi o:
- programistów,
- przedstawicieli klientów "końcowych",
Nie osiągnie się poprawy bezpieczeństwa aplikacji, jeśli na takie spotkania będą przychodzili ludzie już zainteresowani tematem, a tak jest niestety obecnie. Jeden z obecnych na spotkaniu programistów powiedział wprost, że od niego nikt nie wymaga tworzenia bezpiecznego kodu, bo on w zasadzie ma zrealizować wymagania klienta. Dlatego też dobrze by było, gdyby na spotkania przychodzili przedstawiciele klienta, choćby po to, by wiedzieli co umieścić w wymaganiach. Jeśli wymagania odnośnie bezpieczeństwa pojawią się w podpisywanych umowach, w sposób naturalny również i programiści będą zainteresowani (odgórnie) tematem. Ludzie ci jednak nie przyjdą na spotkania OWASP, jeśli nie znajdą tematów dla nich interesujących. Co chcielibyście więc usłyszeć?
Taki gość dysponująć pewnym budżetem będzie sie chciał wykazać jak największą gospodarnoscią być może przed swoimi przełożonymi, tak aby osiągnąć maksymalny efekt do zagospodarowanego funduszu. Z jego punktu widzenia kazda złotówka zainwestowana w bezpiczeństwo, to pieniądz wyrzucony w błoto, taka inwestycja przynosi zerowy ROI, lepiej jest więc wydawać taką kasę na to, aby cała inwesycja miała takie to, a takie kolory, potrafiła stać na głowie, być może latać. Gość analizuje sytuację, widzi że podobne systemy stoją i mają się całkiem dobrze, po co więc miałby inwestować w próżnię ? A jeśli wydarzy się coś złego, zawsze będzie można ratować PR przez odegranie roli ofiary i tak wszystko mogących haxorów .
Gdyby ten gość uwzglednił w swoich kalkulacjach, że jeśli system okaże się w pewien sposób podatny na atak/wyciek to na pewno ktoś w krótkim czasie go skompromituje, może zmieniłby priorytety?