Wer keine Tests schreiben will, der verdient sein Gehalt nicht!
Kommentare

Anthony Ferrara ist die vorherrschende Mentalität in der heutigen Entwicklerwelt leid. Auch nach zwanzig Jahren WWW hat sich in vielen jungen Beispielen bewiesen, dass es selbst bei den angesehendsten

Anthony Ferrara ist die vorherrschende Mentalität in der heutigen Entwicklerwelt leid. Auch nach zwanzig Jahren WWW hat sich in vielen jungen Beispielen bewiesen, dass es selbst bei den angesehendsten Web-Unternehmen noch nicht angekommen zu sein scheint, dass Sicherheit eines der höchsten Ziele bei der Entwicklung sein muss. Noch immer beweist sich viel zu oft, dass Code nicht gut genug getestet wurde, um selbst tradierten Angriffsvektoren wie SQL-Injections standzuhalten. Laut dem bekannten PHP-Meinungsmacher Anthony Ferrara handelt es sich um ein Verantwortungsproblem in der Entwicklerwelt.

Everyone needs to be responsible for writing secure and well tested code. If someone doesn’t want to write tests, they don’t belong earning a paycheck. If someone doesn’t want to think about the security impacts of their code, they don’t belong writing code (professionally or not). And if someone doesn’t want to fix their code (for any reason), they don’t deserve to be in their position.

Insbesondere der Einsatz von PHP-Frameworks oder anderen Open-Source-Hilfswerkzeugen hat diese Mentalität unterfüttert. Der Entwickler neigt zur Einschätzung: „Verantwortlich für die Sicherheit meiner Anwendung bin nicht mehr ich, der das Framework einsetzt, sondern die Gruppe von Entwicklern, die es mir und allen anderen zur Verfügung gestellt haben.“ Doch dies ist laut Ferrara ein Missverständnis in der Open-Source-Welt: Auch als Anwender sollte man sich in der Pflicht sehen, sich um die konsistente Sicherheit seiner Anwendung zu kümmern, auch wenn Bestandteile von ihr nicht auf der eigenen Arbeit beruhen. Ferrara appelliert an die Entwickler, Fehler selbst zu beseitigen:

One of the core values for the company that I work for is that empolyees should „Act like owners, not renters.“ That philosophy is at the heart of our road to recovery. If something is broken, we shouldn’t try to work around it. We should try to fix it. We shouldn’t just deal with it. We should put the time and energy into actually making a difference. We shouldn’t let the „Broken Window Theory“ fool us into thinking that because others don’t care, it’s ok for us to not care.

Freilich kostet das Extra an Sicherheit mehr Zeit beim Entwickeln von Anwendungen. Aber erst, wenn Tests schon im Kern der Anwendung implementiert sind, lässt sich sicherstellen, dass man zuverlässig testen kann. Zusätzliche oder bestehende Sicherheitsteams in der Entwicklungsabteilung sollten daher auch nicht dafür verantwortlich sein, dass solche Tests geschrieben werden. Sie sollten vielmehr nachschauen, ob in der vorausgegangenen Entwicklungsarbeit darauf geachtet wurde, dass Tests zu Genüge vorhanden sind und diese die relevanten Bereiche abdecken.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -