Gatenjagers lijken onkunde van developers te bewijzen, maar de realiteit is lastiger. Dit is de discussie-stelling die Computable-lezers vandaag krijgen voorgelegd.
Het succes van security-onderzoekers die gaten zoeken en vinden, lijkt clichés over luie, onkundige, afraffelende en opgejaagde developers te onderbouwen. Beruchte gatenjagers als Tavis Ormandy, van Google’s speciale zero-day-zoekers Project Zero, weten keer op keer te misbruiken bugs te vinden in software van derden. Daaronder ook juist veelgebruikte software, afkomstig van grote namen en gevestigde leveranciers. En ironisch genoeg ook zelfs securitysoftware.
Ormandy en zijn vakgenoten stuiten in hun onderzoekswerk op stomme slordigheden, gênante programmeerfouten en security-schendende software-ontwerpen. Toch wil hun succes niet zeggen dat developers per definitie slecht werk afleveren. Het is namelijk veel moeilijker om goed en veilig software te ontwikkelen en te testen, dan het is om er ‘gaten in te schieten’. Dit wil overigens ook weer niet zeggen dat bug hunting makkelijk werk is. Wel is het zo dat software-testing complex is, een vak apart.
Wat vind jij?
Al jaren waarschuw ik voor het inboeten van gedegen werk door IT professionals door, ondermeer het wegzetten van gedegen weldenkende en acterende senior IT professionals en deze te vervangen door ‘jong talent’ dat telkens maar zo moeilijk te vinden blijkt. Klarblijkelijk, als ik de teneur van dit artikel even volg, lijkt het dat jonge talent maar niet te lukken op een goede geordende en gestructureerde manier, zaken te produceren en op te leveren.
Dit gegeven is niet nieuw als we bijvoorbeeld kijken hoe het met de oceaan aan commerciele appjes is gesteld die dingen verlangen en misbruiken, gewoon default prutswerk, waarvan je gewoon weet dat er gaten en problemen in zitten. Ik vraag me hier hardop af of de IT dienstenleverancier of de betreffende zzp-er het lef heeft die uren bij aantoonbare omissie bij hun klant in te dienen.
Of zijn wij met zijn alle terug in de tijd voor het milennium waar uurtje factuurtje met vorken schrijven een soort van norm was?