Wie schreibt man unsichere Software? Nichts einfacher als das:
- Anforderungen an die Software nicht schriftlich festhalten. Somit kann man auch gar nicht in die Verlegenheit kommen, Sicherheitsanforderungen definieren zu müssen.
- Tests sind etwas für Weicheier. Ohne Sicherheitsanforderungen braucht man Sicherheit ohnehin nicht zu testen. Sie ist schließlich kein zwingender Bestandteil einer Software.
- Code-Review ist viel zu aufwendig und kostet nur Arbeitszeit. Echte Männer und Frauen schreiben sofort guten und sicheren Code. Alle anderen sind einfach unfähig.
- Penetration Tests sind zu teuer. Wer schon einmal einen in Auftrag gegeben hat, weiß das. Software reift ohnehin beim Kunden. Die Penetration Tests übernehmen somit die Angreifer kostenlos.
- Weiterbildungen im Bereich sicherer Softwareentwicklung braucht niemand. Know-how hat man, oder man hat es nicht. Basta.
Die Umsetzung der fünf Punkte erfolgt auf eigene Gefahr ;-).
