- Derfor er buglisten verdiløs

- Derfor er buglisten verdiløs

Listen over de 25 farligste programmeringsfeilene er verdiløs, mener teknisk direktør. Les hvorfor.

Computerworld har tidligere publisert en liste over de 25 farligste programmeringsfeilene som ofte oppstår under utvikling.

Men ikke alle ser listens nyttighet. Teknisk direktør i selskapet Cigital, Gary McGraw, går i Informit hardt ut mot listen under tittelen "11 årsaker til at topp 10 (eller topp 25)-lister ikke fungerer."

Han påpeker at topp-et-eller-annet-tall-lister med sikkerhetsglipper ikke er noe nytt fenomen, og er ikke uenig i at det er bra å vite "hvem fienden er", tvert imot, det er ekstremt viktig.

Og McGraw mener at listen gjerne kan være nyttig for nybegynnere innen sikkerhetstankegang, og at enhver oppmerksomhet rundt problemet er en god ting.

Like fullt mener han altså at slike lister ikke er verdt bitsene de er lagret på, eventuelt blekket de er skrevet ut med.

Dette er hvorfor:

1. Ledelsen bryr seg ikke om tekniske feil

Sikkerhet handler om risikohåndtering. Risikohåndtering handler om å få hodet ut av den tekniske sørgedrakten og forstå hvilke applikasjoner som virkelig er nødvendig for organisasjonen fra et forretningsperspektiv. Nerdete bedreviten om topp ti-lister gjør lite (om noe) når det gjelder håndtering av forretningsrisiko. Å bruke krefter på å kontrollere de vanligste teknologiske problemene, er neppe det mest ressurseffektive.

2. For mye fokus på bugs

De som praktiserer programvaresikkerhet har i årevis visst at programvarefeil fører til alvorlige sikkerhetsproblemer. Hva vi alle ser ut til å glemme fra tid til annen, er at feil forekommer på to grunnleggende måter (grovt sett delt 50-50): Bugs i koden og feil i designet. Topp ti-lister pleier å fokusere på bugs, det skader fokuset på problemer på design-nivå.

3. Lister hjelper programrevisorer mer enn utviklere

Å lære noen hvordan man gjør det rette er mye mer kostnadseffektivt og effektivt enn å forsøke å lære noen hvordan de ikke skal gjøre en uendelig liste med feil ting. Programvare-folket reagerer mer positivt på å bli vist hvordan de skal gjøre ting rett enn å måtte begi seg ut på en bug-marsj. På en annen side, slike lister gjør koderevisjon enklere. Men hvor effektivt er det?

Les om:

Utvikling