[Owasp-turkey] "Security lessons still lacking for computer science grads"

Bunyamin Demir bunyamindemir at gmail.com
Tue Apr 26 08:09:13 EDT 2011


Merhabalar,

Niye bahane olmasın? Eğer projeyi yetiştirecekse, güvenlik kontrollerini ev
de mi yapacak? Kimse yaptığı eserin kötü olmasını/anılmasını istemez. Fakat
burda fedakarlik yapması gereken iş verenin kendisi. Hatta fedakarlik da
değil, bir gereklilik.

Bu arada benim söylediğim, kişinin kendisini geliştirmesi ile alakalı değil.
Kişi güvenli kod yazmayı biliyor bile olsa. Her input validation'lar,
yetkilendirme mekanizmalari v.s. hep zaman alan işler. Biliyor olmakta sizi
hızlandırmıyor. Ne kadar bilseniz de "güvenli kod yazmanın" belli bir zaman
maliyeti mevcut.

Syg.


26 Nisan 2011 14:46 tarihinde Enis Karaarslan <enis.karaarslan at gmail.com>yazdı:

> Dediğin en önemli neden olmakla beraber, yine de bahane olmamalı.
> Bir yazılımcı gerektiğinde kendisine ait alt kütüphaneleri yapıp
> sürekli olarak kullanabilir. ama kaç yazılımcı bu tür süreçlerin
> farkındadır, ne yazık ki fazla değil.
> Bir de şunu diyen yazılımcı arkadaşlar da oldu
> "veritabanı sistemi gerekli denetimleri yapıyor, benim yapmama neden
> gerek olsun ki?"
>
>
> On 4/26/11, Bunyamin Demir <bunyamindemir at gmail.com> wrote:
> > Merhabalar,
> >
> > Ben temel sorunun; iş verenin, işin güvenliğinden ziyade, erken bitmesine
> > önem vermesinden kaynaklandığına inanıyorum. Yoksa yeterli vakit
> verildiği
> > sürece her yazılımcının güvenli kod yazma teknikleri hakkında donanıma
> sahip
> > olabileceği aşikar. Sadece kodu güvenli yazıp deadline'i 3 gün uzatalim
> mi?
> > Yoksa bodoslama yazip, 2 gün öncesinde bitirip, müşteriden paramızı mı
> > alalım? sorularına yanıt vermek gerekiyor.
> >
> > Syg.
> >
> >
> >
> > 26 Nisan 2011 14:04 tarihinde Enis Karaarslan
> > <enis.karaarslan at gmail.com>yazdı:
> >
> >> Bilinmeyen bir şeyi yazmadığı gibi, o yazıda belirten markanın reklamı
> >> şeklinde olmuş bu yazı.
> >>
> >> Meslek yüksek okullarında bilgi güvenliği eğitimi verilmesi
> >> gerekliliği üzerine bir bildiri yazmıştım ben de (2003 senesi).
> >> Benimki daha ütopik bir yazı olmuş.
> >>
> >> Aslında birçok bilgisayar bilimleri/mühendisliği bölümü, bu şekilde
> >> ders verilmesi gerektiğini biliyor ama bir çoğunda bu dersleri verecek
> >> bilgide hocalar bulunamıyor. Birkaç yerde bazı sunumlara rast
> >> gelmiştim, web güvenliği için ssl yapmanın yeterli olduğunu düşünen
> >> hocalar da var ne yazık ki (bu Türkiye'den değil bir yabancı
> >> üniversiteden).
> >>
> >> Hepinizin de bildiği üzere, ayrı bir ders olmadan da güvenli
> >> kodlamanın temelleri verilebilir.
> >> Yazılım mühendisliği ve benzer derslerde, input ve output validation
> >> gösterilmesi bile büyük bir artı olacaktır.
> >>
> >> Bunun yanı sıra kriptolojinin bilimsel ve matematiksel altyapısını
> >> vermektense uygulamalarda nasıl kullanılabileceğine yoğunlaşmak lazım.
> >> Çok şey söylenebilir ....
> >>
> >>
> >> On 4/26/11, ibrahim saruhan <ibrahimsaruhan at gmail.com> wrote:
> >> > Eminim ki herkes guvenli kod yazacagim diye egitim almaya calissa,
> kimse
> >> kod
> >> > yazamaz. Kod yazmak yazarken ogrenilen bir durum, yazmayi
> zorlastirdikca
> >> > yazilmaz hale gelir.
> >> >
> >> > 10000 tane Graduate Security Professional a ihtiyac var denmis yok
> oyle
> >> > sey:) Bosuna insanlara bilisim guvenligi uzerine MS yap ihtiyac var
> >> seklinde
> >> > umut veriyorlar... :)
> >> >
> >> > Bu yakinan kimseler sirketlerine guvenli kod yazmayi bilen elemanlar
> >> > alsinlar, bilmeyenleri almasinlar, ya da alip egitip oyle program
> >> > yazdirsinlar, sonra cikip Unilerde neden egitilmiyor bu adamlar
> >> demesinler.
> >> > Guvenli kod yazamiyorum, ya da guvenlikten bi haber oldugumda ise
> >> > giremeyecegim diye dusunen kisiler de self investment yapsin gitsin
> >> egitim
> >> > alsin ya da kendi ogrensin. Ama sen rastgele ise adam al, guvenlik
> >> uzerine
> >> > egitme ve sonra da cik de ki bu adamlar neden guvenlik bilmiyor:)
> Neden
> >> > 1
> >> > tane bile ders almadi bu adamlar lisans ta:)
> >> >
> >> > 2011/4/26 T. Terlemez <tterlemez at gmail.com>
> >> >
> >> >> Merhaba
> >> >>
> >> >> Aşağıda adresi olan yazıda değinilen konu grupla da ilgili diye
> >> >> düşünüp gönderiyorum :
> >> >>
> >> >>
> >>
> http://www.infoworld.com/t/application-security/security-lessons-still-lacking-computer-science-grads-769
> >> >> _______________________________________________
> >> >> Owasp-turkey mailing list
> >> >> Owasp-turkey at lists.owasp.org
> >> >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >> >>
> >> >
> >>
> >>
> >> --
> >> ----------------------------------------------------
> >> Dr. Enis Karaarslan
> >> Mugla University
> >> Department of Computer Engineering
> >> _______________________________________________
> >> Owasp-turkey mailing list
> >> Owasp-turkey at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >>
> >
> >
> >
> > --
> > Bünyamin Demir
> > OWASP-Turkey Chapter Lead
> > http://www.webguvenligi.org
> > http://www.owasp.org/index.php/Turkey
> >
> > Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
>
>
> --
> ----------------------------------------------------
> Dr. Enis Karaarslan
> Mugla University
> Department of Computer Engineering
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 
Bünyamin Demir
OWASP-Turkey Chapter Lead
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20110426/fc874d2f/attachment.html 


More information about the Owasp-turkey mailing list