Velika pomanjkljivost EU/SI tedna programiranja

Iskalnik najde med več kot 19.000 dogodki zgolj osem različnih zadetkov s ključno besedo “security”. V Sloveniji tako rekoč nobenega.

Oktobra, ki je bil hkrati tudi mesec kibernetične varnosti v EU – https://cybersecuritymonth.eu/ – je potekal teden programiranja. Namenjen je predvsem mladim bodočim računalničkim strokovnjakom starim od 12 do 18 let. Teden programiranja je množica na evropskem (ter širše) in slovenskem nivoju organiziranih brezplačnih dogodkov tj. delavnic, izobraževanj, predstavitev itd., ki so potekali med 6. in 21. oktobrom 2018, dejansko ne zgolj sedem temveč petnajst dni. Slovenska in evropska domača stran prireditve sta sledeči:

http://codeweek.si/#codeweek

https://codeweek.eu/

Kaj je narobe s tem?

Teden programiranja ima ogromno varnostno luknjo! Luknja je v tem, da ni niti enega dogodka namenjenega posebej dandanes izredno pomembnemu aspektu programiranja – varnosti izvorne programske kode orodij in aplikacij.

V času, ki je hkrati izpostavljen tudi kot mesec evropske kibernetične varnosti, je ta ignoranca aplikacijske varnosti še posebej izstopajoča.

V iskalniku dogodkov v Sloveniji nisem v opisih nobenega od njih zasledili, da bi se v večji meri posvetil varnemu razvoju aplikacij. Pa čeprav so uspeli uvrstiti hipsterske teme kot so socialna pravičnost in blockchain-i. Globalni iskalnik vrne več kot 19.000 dogodkov. Preveč, da bi jih vse preveril. Če dodam še ključno besedo »security«, najdem zgolj 8 (osem) različnih zadetkov! Morda se motim, a ni videti tako, če obstajajo dogodki na temo varnosti, so dobro skriti.

Bodoči programerji bodo razvijali aplikacije. V večini primerov se bodo uporabljale nekje s povezljivostjo z internetom – v namiznem ali prenosnem računalniku, telefonu ali tablici, ali v kaki IoT napravi. V vseh primerih moramo naučiti razvijalce da je obvezno vanje že v osnovi implementirati varnost. Četudi se gre samo za igračo razvito v tednu programiranja, kaj če postane zelo popularna med osnovnošolci, ki jo namestijo na tisoče telefonov? Vzrok za izredno velik del varnostnih incidentov v zadnjih letih so prav varnostne luknje v aplikacijah. Pomeni, da jih je treba razvijati tako, da so vsaj brez najbolj osnovnih varnostnih lukenj. Del razvojnega procesa mora biti zgodnje odkrivanje in odpravljanje varnostnih pomanjkljivosti v aplikacijah, torej tudi med programiranjem.

Najbrž niso hoteli gnjaviti otrok s tako resnimi, dolgočasnimi stvarmi? Ne, a množica dogodkov je bila namenjena tudi srednješolcem, študentom, po-diplomirancem in odraslim ljudem, vsaj tako je razvidno iz iskalnika dogodkov. Sicer pa, če so blockchaini dovolj primerni za dogodek, potem je varnost aplikacij še toliko bolj. Poleg tega, prej kot nekomu razložimo pomembne osnove, bolje si jih bo zapomnil. Saj je najbrž pravilno, da ne zlorabljamo take prireditve za reklamiranje produktov, ki jih tržimo mi, a najbrž obstajajo enostavno predstavljivi brezplačni dodatki za razvojno okolje Eclipse za osnovno tako oblikovno kot varnostno analizo izvorne kode. Vsaj v časih, ko sem se sam ukvarjal z razvojem, je bilo na razpolago nekaj takih pripomočkov.

Upam, da bo naslednje leto drugače!

Avtor / prevod: Robert Lubej

REAL security d.o.o.

Žolgarjeva ulica 17, 2000 Maribor

tel.: 02 234 74 74, http://www.real-sec.com, info@real-sec.com