Menü
Avatar von Oliver Schad
  • Oliver Schad

mehr als 1000 Beiträge seit 12.04.2000

Bullshit-as-a-Service

In dem ganzen Text kommt nicht einmal vor, wie denn Sicherheit in der Implementierung und Architektur eingebaut wird. Stattdessen werden abstrakte Anforderungen an eine Blackbox gestellt.

Zum Thema Threat-Modeling: das ist das nächste Bullshit-as-a-Service. Natürlich muss man sich bewusst sein, wogegen man sich schützen möchte. Aber die detailierten Angriffsvektoren sind Unsinn: morgen gibt es einen neuen Angriffsvektor und dann muss man alles umbauen?

Nein, man muss seine Software inhärent sicher gestalten. Analog verhält sich es ja auch mit Stabilität: brauchen wir jetzt noch Stability Modeling um Absturzvektoren zu berechnen? Hey, ich hab eine Marktlücke gefunden: ich gründe da eine Beratungsfirma, die dieses Stability Modeling als Geschäftsmodell hat.

Ergo: man muss darüber reden, wie konkret sicherer Code auszusehen hat. Nur so kann man sich dem Problem annähern, Bottom-Up. Genau im Bottom, da ist die Jauche. Mit Top-Down-Ansätzen, muss sicher gegen SQL-Injektion sein und dann bauen wir einen lustigen Prozess drumherum, kommt man wirklich nicht weiter.

Auf der Architektur-Ebene müsste über Kapselung gesprochen werden von gewissen Problemklassen, die sicherheitsrelevant sind. Auch da könnte man ganz viel machen.

Aber bitte nicht noch ein Bullshit-as-a-Service.

Edit: wenn man sich mit Fähigkeiten der Menschen beschäftigen will, dann muss man immer noch jemand das Bottom beherrschen und der bringt das dann anderen bei. Schulung nennt man das - aber damit man das beherrschen lernt, muss man mehr als 1 Woche Schulung machen. Sicherheit zu verstehen braucht eher Monate Arbeit. Denn der Coding-Stil muss u.a. umgestellt werden. Sprachkonstrukte müssen hinsichtlich Sicherheit verstanden werden und das muss man anhand der konkreten Sprache dann tun.

Das Posting wurde vom Benutzer editiert (19.07.2019 16:44).

Bewerten
- +
Anzeige