Először is definiálni kellene ki a szoftverfejlesztő?
szvsz az egy CSAPT összessége, és nem egy-egy programozó/tervező/tesztelő/auditor.
Így felelősségre is csak a csapatot (ami a gyakorlatban egy céget jelent) lehet vonni adott esetben... (Aztán persze házon belüle lehet tolni a szart egymásra, de az már az ő dolguk.)
A legtöbb programozónak pl fingja nincs a biztonságról, mert (sajnos) ezt nem tanítják nekik.
Sokszor egy egy ember csak egy-egy kódrészletet készít az egészből...
Az a cég aki minőségi kódot AKAR kiadni a kezéből, az:
- úgy tervezze a cuccait, hogy azok biztonsági szempontból is megfelelőek legyenek
- oktassa a fejlesztőit a cél elérése érdekében
- tesztelje a kódot mielőtt az bekerülne egy éles kiadásba
- auditálja a cuccot biztonsági szempontok alapján is.
Ezek meg ugye PÉNZBE kerülnek... innentől egyből ki lehet találni ki is a felelős a gyenege minőségű kódért ;)
Előre is elnézést a hasonlatért, de szerintem:
Egy ilyen folyamatban a programozó olyan mint a kőműves segédje. És ha összedől a ház amit építettek akkor sem a segédmunkást fogják felelősségre vonni...
Aki meg az open source cuccokon lovagol:
Olvassa már el a licenc ide vonatkozó részét.
--
zrubi.hu