(Pfeiffer Szilárd (Balasys) előadása az IC Enterprise Technologies meetup-sorozat 2022. június 28-i, DevSecOps tematikájú állomásán hangzott el.)
- A hozzászóláshoz be kell jelentkezni
- 512 megtekintés
Hozzászólások
Senkit nem érdekel a biztonságos szoftverfejlesztés, ha az pénzbe kerül. Majd ha meghekkelik a cuccunkat, gyorsan kiadunk rá 1 javítást, meg egy sablonszöveg nyilatkozatot. Aztán a következő nyilvános megszégyenülésig szarunk megint az egészre. Az internet népe gyorsan felejt amúgyis.
Autógyártókkal az élen: minden héten látok 1 újabb ilyen kaliberű balfaszságot:
https://youtu.be/tqln99BHUzU
- A hozzászóláshoz be kell jelentkezni
Azért nem érdekel senkit, mert nem adható el drágábban a biztonságosabb szolgáltatás, mint a lyukas, mert a userek is leszarják az egészet. Papírra írt jelszavak, stb. Senkit nem érdekel a biztonság. Emiatt aztán senki nem fizeti meg, emiatt aztán minek csinálni? Nem térül meg.
- A hozzászóláshoz be kell jelentkezni
Az elet egyre tobb teruleten latok peldakat az elore menekulesre. A bizonytalansag csak tovabbi bizonytalansagokat szul. Uszunk az arral. Bakker, atmentem Coelhoba, elnezest, gyorsan abbafejezem magam es iszom egy kavet. Es leellenorzom az utolso fuggvenyt amit irtam, ki tudja miota vagyok ebben a tudatallapotban, mi kovettem el ez ido alatt. :-)
- A hozzászóláshoz be kell jelentkezni
Amit it elmond a srác, az a kommerciális, nem biztonságkritikus szoftverfejlesztésre igaz, valójában biztonságos szoftvert nem így építünk. Security by design, nem pedig azt nézegetjük, hogy hány sor egy függvény, aztán onnan próbálunk reszelgetni.
- A hozzászóláshoz be kell jelentkezni
Nálunk most kitalálták, hogy úgy fogják növelni a kódbiztonságot, hogy mielőtt bármilyen változtatás production deployba mehet, JIRA ticketnek kell róla lenni (ha egy commit v. PR több issue-t fixel, akkor mindegyikről egyesével külön ticket), ahova azt is le kell írni hogy ez a változtatás milyen business requirement és előny része - hiszen minden új változtatás új security issue lehetősége is egyben, ami csak akkor éri meg ha van business értéke - ÉS ezt a security review-elni fogja egyesével. A ticketeket és a hozzá tartozó kódokat is, full vétó joggal. És ezt így elfogadták és kész kuss, odafentről és anyacégtől is jóváhagyva, mostantól ez van, punktum.
Száz nyolcvan fejlesztőnk van. Kb. négyszáz különböző git repo. KETTŐ security-s van (amiből az egyik a security góré, aki nyilván nem fog ilyesmit csinálni). Fasza lesz. :)
A security szakmai szintjéről meg mellesleg annyit, hogy minap kiverték a hisztit, hogy nginx 1.14-et futtatunk, ami már EoL, szóval MOST AZONNAL UPGRADE!!!!. Na itt jött a fél órás szájbarágás a "hogy működik egy Linux distró (Ubuntu 18.04), és mi az a security patching ami a disztró vendor végez, stb. " témában. Utána volt hümmögés, fejvakarás, extra meeting, végül az volt a megoldás, hogy "ja, hát akkor kapcsoljátok ki a verzió megjelenítést (server_tokens off - szerk.) a response fejlécben amit a sechole-scannerünk használ, és akkor nem sípol rá, hogy régi a szerver, mert nem tud róla"...
Szóval kikapcsoltam. Amúgy sem kellett volna bekapcsolva lennie, szvsz, szóval fair enough. És azóta SEKURITI STONKS.
-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-
- A hozzászóláshoz be kell jelentkezni
Ennyi.
A 2. sztori tökéletesen lefedi mit jelent a valóságban a szekuritinek való megfelelés, ha egy hülye cég esetleg még foglalkozik is a témával és energiát feccöl bele.
- A hozzászóláshoz be kell jelentkezni
A security policynek való megfelelés nem feltétlenül jelent biztonságos szoftvert. Ugyanúgy, ahogy az ISO 9001-es plecsni sem jelent magas minőségű terméket, csak szabályozott módon előálló terméket.
Ez az egész általában a felelősségek megfelelő elhárításáról szól, hogy aki megfelel a policynek, az mondhassa, hogy onnantól kezdve nem az ő felelőssége, ha baj van, és meg lehessen találni a szabályzat alapján azt, hogy kinek a felelőssége.
Ettől még nem lesz biztonságosabb a szofver/jobb minőségű a termék, de egy minőségbiztosítás elmaradása miatti perben könnyebb megtalálni a felelőst. Erről szól ez az egész.
- A hozzászóláshoz be kell jelentkezni
Ezt itt szerintem mindenki világosan látja, hogy ezekkel soha nem a valódi probléma (a biztonság javítása) kezelése volt a cél, hanem az egymásramutogatás és bűnbakkeresés intézményesített megoldása.
- A hozzászóláshoz be kell jelentkezni
Olcsóbb a néha felmerülő perben kifizetni a büntetést, mint a valódi biztonságot. Főleg úgy, hogy a szoftverek fejlesztői semmilyen garanciát nem vállalnak, csak akkor, ha jogszabályban van róla előírás. Nagyon szűk köre a szoftvereknek az, amire van ilyen jogszabályi előírás.
- A hozzászóláshoz be kell jelentkezni
Nem tud a szakma jó része szoftvert írni, tesztelni meg pláne.
Tesztelni ráadásul nem is szeret.
Ahol hajlandóak beletenni a pénzt és az időt a tesztelésbe ott azért lehet valamiféle közel állandó minőséget biztosítani. Nincsen garancia a hibamentességre csak arra hogy ugyanazt a hibát kétszer nem követjük el.
zászló, zászló, szív
- A hozzászóláshoz be kell jelentkezni
Nem tud a szakma jó része szoftvert írni, tesztelni meg pláne.
Linus után pedig tudjuk, hogy bugfixelni, na, azt meg pláne nem szeret. Amit a szakma szeret: új feature-öket fejleszteni / újraírni stb.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ahogy az egyik villanyszerelő sem szereti folytatni a másik munkáját, pláne nem hibát keresni benne. Ahogy az autószerelő sem szeret hibát keresni (az alkatrészcserélgetést hagyjuk), csak olajat cserélni. Stb ;)
- A hozzászóláshoz be kell jelentkezni
Attól tartok, hogy itt arról van szó, hogy a saját maguk által írt kódokban SEM szeretnek hibát javítani.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Én imádok bugfixelni, és jobb is vagyok benne, mintha bármit nulláról kell megírni. De miközben én azt gondolom, hogy azokon a napokon vagyok legproduktívabb, amikor többszáz sort kihányok a forráskódnak csúfolt trutymóból, és ettől féltucat bug megjavul és húszszorosára gyorsul az egész, a management sokszor ezt nem érzékeli, mert más fejlesztőktől meg az a feedback hogy nem akarják az ilyesmit, és ne nyúljak a SZENT kódhoz, amit ők írtak. Többnyire mert az általam írt résszel ugyanaz lenne a bajuk mint a sajátjukkal lenne, csak 6 hónappal később: kód olvasás és értelmezés nem megy, emiatt úgyis csak mindent újraírnak végül. Óvoda. Ezzel összefüggésben szintén rendszeres a "hozzányúltál innentől a te bajod", meg a "nem értjük mit csinálnak a változtatásaid, szóval inkább újraírtuk" (értsd: visszarakták a többszáz kőfelesleges sort, csak más sorrendben) problémakör.
Szóval nem elég, hogy a szakma nem szeret bugokat fixelni még azokat is kinézi és kiveti magából, akik szeretnek. Aztán meg csodálkozunk, hogy minden szar.
-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-
- A hozzászóláshoz be kell jelentkezni
Skálázódni, hogy fog a security csapat?:) Security Meetupon volt ilyesmiről egyszer szó, ott úgy oldották meg, hogy minden csapatba betettek egy securitys embert, meg létrehoztak egy tudásbázist, hogy tudjanak tanulni a fejlesztők könnyen.
- A hozzászóláshoz be kell jelentkezni
Éppen létszámstop van, de ja, szó volt róla h. veszünk még fel security-t... Az elmúlt két évben, folyamatosan. De gondolom mostantól minden máshogy lesz! :)
-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-
- A hozzászóláshoz be kell jelentkezni
Aztán a szekuritis melója abban fog kimerülni, hogy tiketeket nyitogat meg zárogat le. Emiatt az az ember aki valóban értett a szekuritihez, fel is áll majd 6 hónao múlva és átmegy oda ahol hagyják a valódi munkaját végezni. Ezután már olyan ember lesz felvéve, aki eleve csak tiketeléshez ért, szekuritihez meg nem.
- A hozzászóláshoz be kell jelentkezni
A minőségmenedzsment ilyen világ, több benne az adminisztrációs rész, mint a többi.
De ilyen ez, amikor tesztet ír az ember, általában több sorból áll a unit teszt, mint a tesztelendő kód
- A hozzászóláshoz be kell jelentkezni
Welcome to the Security Theater!
20+ éve ugyan az a nóta...
- A hozzászóláshoz be kell jelentkezni