Если бы меня попросили назвать несколько основных практик, связанных с обеспечением безопасности, то я выбрал бы следующие:
• разработчики должны приучить себя с недоверием относиться к входным данным и проверять их корректность, желательно с помощью протестированной и проверенной библиотеки. Если длина ожидаемого значения составляет всего 20 байт, ограничьте величину входных данных 20 байтами. Если вы ожидаете получить число, то убедитесь, что входное значение является именно числом, и так далее;
• разработчикам/архитекторам/менеджерам, отвечающим за создание ПО, необходимо освоить методы моделирования угроз и убедиться в том, что их система предусматривает соответствующие средства защиты;
• наконец, тестировщики должны доказать неправоту разработчиков, создавая или приобретая инструменты, которые генерируют вредоносные и/или недействительные данные. Цель в том, чтобы выявить недочеты, допущенные разработчиками, если они есть.
Разумеется, это далеко не все, что требуется для обеспечения безопасности ПО, но, на мой взгляд, это те фундаментальные навыки, которыми должны обладать все инженеры-программисты».
Информация о Майкле Ховарде
Если вы хотите узнать больше о Майкле Ховарде, перейдите по следующим ссылкам:
• книги Майкла Ховарда: https://www.amazon.com/Michael-Howard/e/B001H6GDPW/;
• блог Майкла Ховарда: https://michaelhowardsecure.blog/author/mikehow/;
• Майкл Ховард в Twitter: https://twitter.com/michael_howard.
8. Профиль: Гари Макгроу
Когда я позвонил Гари Макгроу по поводу интервью, он сказал, что минуту назад беседовал с католическим монахом, который проходил мимо его дома на реке Шенандоа в Вирджинии. Спустя несколько секунд он переключился на обсуждение нюансов информационной безопасности. Такого рода парадоксы сопровождают Макгроу всю жизнь. Он начал программировать на своем первом компьютере, Apple II+, в 1981 году, в возрасте 16 лет. В колледже он изучал философию и параллельно получал классическое музыкальное образование. Он даже дважды выступал в Карнеги-холле. Сегодня, будучи одним из лучших в мире экспертов по ИБ, Макгроу с удовольствием готовит, ухаживает за садом и придумывает новые коктейли.
Я спросил Гари о том, как он заинтересовался темой информационной безопасности во время изучения философии в Университете Вирджинии. Он сказал, что интерес к философии сознания привел его на курс под названием «Компьютеры, сознание и мозг», который преподавал Пол Хамфрис. Гари считал идеи профессора Хамфриса ошибочными, но они заставили его глубже задуматься о философии сознания и проблеме искусственного интеллекта. В итоге в ходе занятий он начал применять идеи светила индустрии и обладателя Пулитцеровской премии доктора Дугласа Хофштадтера, что кардинально изменило его карьерный путь. Свой первый курс по информатике Макгроу прошел, уже будучи аспирантом, хотя увлекся программированием еще подростком. Под руководством Дугласа Хофштадтера в Университете Индианы он получил двойную докторскую степень в области когнитивных наук и информатики. Он даже написал десятую главу первой книги, проданной на Amazon. Это была книга Хофштадтера Fluid Concepts and Creative Analogies: Computer Models of the Fundamental Mechanisms of Thought (https://www.amazon.com/Fluid-Concepts-Creative-Analogies-Fundamental/dp/0465024750).
После колледжа Гари присоединился к компании из семи человек, которые в итоге основали Cigital (www.cigital.com). Организация получила крупный грант от Управления перспективных исследовательских проектов Министерства обороны США (DARPA) на проведение исследования в области информационной безопасности, и Макгроу был нанят для работы над этим проектом. В итоге компания выросла до 500 сотрудников и в 2016 году ее приобрела компания Synopsys. В настоящее время в отделе обеспечения безопасности ПО работает около 1000 человек.