Na konferenci RSA jsme měli možnost hovořit Richardem A. Clarkem, který je mezinárodně uznávaným expertem na otázky národní a počítačové bezpečnosti. Pracoval také v Bílém domě jako poradce tří prezidentů Spojených států pro globální bezpečnostní záležitosti. Ptáme se ho na problematiku bezpečnosti softwaru a hodnocení jeho kvality.
Článek o hrozbách na internetu naleznete zde.
Dříve se objevovalo 30 závažných bezpečnostních softwarových chyb měsíčně, v současné době je to už 30 týdně. Co by se s tím mělo dělat?
Samozřejmě neexistuje jediné řešení, ale některá jsou podle mého názoru účinnější, některá ne. Za velmi vhodné bych považoval vytvoření mezinárodně uznávaného standardu pro kvalitu vývoje a produkci softwaru, i když je mi jasné, že to zabere hodně času.
Díky tomu by potom bylo možné pomocí třetích stran standardně testovat kvalitu softwaru. Tyto výsledky by potom byly mezinárodně uznávány. Jak proboha softwaroví výrobci vůbec mohou dovolit, aby se v jejich produktech vyskytla chyba typu „buffer overflow“?!
Hovoří se o tom, že by se software neměl vyvíjet například v Indii, protože se v něm mohou vyskytovat nečekaná „zadní vrátka“ (back doors). Jaký na to máte názor?
Ano, slyšel jsem o tom také. Ale ve skutečnosti má indický vývoj software, ve většině případů jedny z nejlepší kvalitativních metodik. Po pravdě řečeno, vůbec by nás nemělo zajímat, kde je software vyvíjen. Jediné, co je důležité, aby žádný jednotlivec v procesu vývoje nemohl do takového softwaru vložit svoje vlastní zadní vrátka. K tomu jsou také potřeba další auditovací techniky pro software.
Měli by výrobci být nějak odpovědní za nečekané náklady, které způsobí jejich chybný software?
Zkusme se na to podívat trochu jinak. Když budou prodávající i kupující spolupracovat tak, aby pokud možno eliminovali výskyt chyb a obchod jel co nejlépe, bude to mnohem lepší, než se soudit o odpovědnost. Takové spory se táhnou léta a jediný, kdo na nich profituje, jsou právníci.
