Comments | infowatch: Диалектика сертификации

infowatch

Диалектика сертификации

Oct 23, 2010 19:20

Когда давеча ваш покорный слуга осмелился критиковать систему сертификации ПО, упустил важный аргумент.

Институт сертификации был придуман для статичных вещей и заточен под них же. А программы - предмет динамичный, особенно современные. И чем современней, тем динамичнее ( Read more... )

футурология, защита информации, сертификация

Comments 35

evil_harconen October 23 2010, 15:40:41 UTC

Главное, чтобы этот процесс не превратился исключительно в процесс высасывания денег из разработчиков сертифицируемого софта. Пока что все идет именно в этом направлении.

evil_harconen October 23 2010, 15:43:24 UTC

В России все идет в этом направлении. Но есть же и другие страны.

evil_harconen October 23 2010, 16:16:17 UTC

Я так понимаю, тут два аспекта:

1. В россии не стоит пытаться делать высокотехнологичный бизнес. Такова селяви, и когда ошметки от распила бабла перестанут кормить удовлетворение любопытства итшников, придется задумываться о перемене юрисдикции.

2. Любая трудоемкая сертификация, даже честно организованная (ха!), приводит к росту стоимости выхода на рынок. Это очень очень сильный отрицательный фактор эволюции. Выводы очевидны.

Спасибо за любимую тему ! swan_lj October 23 2010, 18:02:02 UTC

Все жалуются что долго и дорого !

Предлагаю решение проблемы:
1. - Разработчик ПО самостоятельно подготавливает и оформляет доказательства безопасности своего ПО.
2. - ну скажем я(условно) провожу оценку доказательств за 3 (три) дня и за 30000(тридцать) руб.
3. - я(условно) выдаю сертификат безопасности ПО.

Обсуждаем ?...

Re: Спасибо за любимую тему ! infowatch October 24 2010, 00:53:52 UTC

«...я провожу оценку доказательств за 3 дня и за 30000 руб...»
Я! Я хочу проводить оценку доказательств за 30 000 рублей! Могу оценить неограниченное количество. Даже в 2 дня уложусь.

Re: Спасибо за любимую тему ! swan_lj October 24 2010, 08:45:59 UTC

Коллега ! Приведение цитаты с личными правками - самое большое зло в журналистике!!!
Привожу правильную цитату:
"2. - ну скажем я(условно) провожу оценку доказательств за 3 (три) дня и за 30000(тридцать) руб."

Ключевое слово "Условно" !!!

Re: Спасибо за любимую тему ! infowatch October 24 2010, 08:48:58 UTC

Нет уж. Цитирование косноязычия допустимо только для Черномырдина. "Сперва дослужись..."

Thread 7

arkanoid October 23 2010, 19:34:25 UTC

Именно.

Подход любой - отход какой ? swan_lj October 23 2010, 20:12:28 UTC

Да Бог с ним с подходом...
Каждый день проверять, проверять производство, проверять систему гарантирующую безопасность выпускаемого ПО и т.п.

Вопрос в другом:
- сам Разработчик готов доказать покупателю/заказчику безопасность своего ПО?

Re: Подход любой - отход какой ? arkanoid October 23 2010, 20:19:54 UTC

Вот!

Какой смысл показывать статический слепок "вот мы как бы родили более-менее приличный код, не знаем как", когда нужно показывать -- вот так у нас пишутся тесты, вот так у нас выглядит процесс релиза, вот так мы выпускаем патчи и фиксим баги?

Боюсь, что большинству разработчиков просто тогда не светит никакая сертификация :-)

Re: Подход любой - отход какой ? swan_lj October 23 2010, 20:30:49 UTC

Браво коллега !!!

Кто из Разработчиков готов представить не софт написанный на коленке состав которого сами не знают а...

- на этапе проектирования мы рассмотрели такие вопросы
- при проектировании предусмотрели это и это, применяли такие стандарты и практики, такие средства автоматизации проектирования безопасного кода
- при кодировании применяли такой контроль
- проводили промежуточный контроль, тестирование и моделирование
- полученное ПО подвергалось тестированию по следующим методикам, получены такие то результаты...

При таких условиях уровень доверия совсем другой !

Thread 17

bablaw October 23 2010, 19:40:10 UTC

1. Понятие «Жизненный Цикл ( ... )

infowatch October 24 2010, 01:18:38 UTC

Ну, да. Когда приобретается "не продукт, а процесс", то и аукцион/тендер, заточенный под статичный продукт не работает. Надо переходить на другую схему.

Полезно рассмотреть аналогию с наймом рабочей силы. Там тоже предмет "покупки" сугубо динамичный. Для отражения динамики целый Трудовой кодекс написали.

karpion October 23 2010, 21:08:30 UTC

Может, страховать риски ущерба от уязвимостей за счёт производителя и/или сертификатора?

karpion October 27 2010, 08:55:32 UTC

Это всё равно будет так или иначе за счёт клиента.

karpion October 27 2010, 18:33:19 UTC

Но дело в том, что страховщики достаточно быстро вырабатывают более-менее правильные методики оценки рисков. Юзеры в силу меньшей осведомлённости об инцидентах (каждый знает только о своих) не могут составить себе правильного представления.