Computer Associates: «Стандарты для пиццы выше, чем для ПО»

SC Conference: Computer Associates призвала софтверную индустрию, правительство и университеты серьезнее относиться к проблеме качества программного обеспечения.

На конференции Secure Computing в Лондоне компания Computer Associates обратилась к ИТ-индустрии с призывом повысить качество средств защиты, потребовав от бизнеса, правительства и академического сообщества более серьезного отношения к этой проблеме.

Вице-президент СА по стратегии безопасности Саймон Перри сказал, что поставщики и конечные пользователи должны принять меры к повышению качества программных средств защиты. «Сейчас все мы находимся на бегущей дорожке, — сказал Перри. — И нам нужно переломить ситуацию, прежде чем мы сорвемся. Мы должны изменить подход к разработке своей инфраструктуры. Мы должны понять, что процесс установки патчей порочен. И что мы не прилагаем надлежащих усилий к тому, чтобы требовать качественного и надежного программирования».

Перри добавил, что правительству следует играть более активную роль в контроле качества технологических продуктов: «Органы государственного надзора могут отозвать пиццу, если ее качество недостаточно высокое. Но для ПО программы отзыва не существует. Необходимо лучше отрегулировать эти моменты».

Индустрия средств защиты находится в плачевном состоянии еще и потому, что компании убеждены, будто они делают все возможное для решения проблемы установки патчей, сказал Перри. Но они просто стали быстрее реагировать на уязвимости. «Мы не занимаемся профилактикой. Мы научились лучше предотвращать использование уязвимостей, но это реактивное поведение. Необходимо усовершенствовать саму стратегию».

«Я побывал в одном из ведущих ИТ-университетов Европы, — сказал Перри. — И обнаружил, что там нет ни одного курса лекций по безопасному кодированию. В результате мы имеем индустрию безопасности в том виде, в каком она находится сегодня».

Перри посоветовал участникам конференции перейти от огульного обвинения поставщиков к общеотраслевому решению: «Дело не в том, чтобы побить ближайшего к вам поставщика. Все мы внесли в это свой вклад, и теперь нужно менять подход к оценке успешности проектов. Сейчас вознаграждение платят, исходя из сроков разработки и затрат, а не безопасности полученного кода». //ZDNet.ru