Programiści nie powinni być odpowiedzialni za bezpieczeństwo?

O autorze

Grzegorz Niemirowski

Alan Cox, jeden z najważniejszych twórców jądra Linuksa stwierdził, że programiści nie powinni być obarczani odpowiedzialnością za dziury w ich programach. Zaznaczył, że dotyczy to zarówno otwartego jak i zamkniętego oprogramowania.

Cox, na stałe pracujący w Red Hacie, miał swoje wystąpienie w brytyjskiej Izbie Lordów podczas publicznego wysłuchania na temat bezpieczeństwa użytkowników indywidualnych zorganizowanego przez Komitet Nauki i Technologii. Według niego programiści mają obowiązek dołożyć wszelkich starań aby pisany przez nich kod był bezpieczny. Niemniej uważa, że nie można ich obciążać odpowiedzialnością prawną za wykryte luki.

W przypadku firm tworzących zamknięte oprogramowanie nie mogą one brać odpowiedzialności za działanie swoich aplikacji, gdyż ich zachowanie może być nieprzewidywalne w obecności aplikacji firm trzecich. Najwygodniej byłoby dla nich zakazać instalacji oprogramowania innych firm, naraziłoby to je jednak na pozwy o antykonkurencyjność. Takie próby są jednak podejmowane w przypadku urządzeń przenośnych. Przykładem jest Apple, które zapowiedziało, że nie będzie można uruchamiać oprogramowania firm trzecich na iPhone.

Z kolei trudno też wymagać odpowiedzialności za kod w przypadku oprogramowania otwartego, które jest często tworzone przez społeczności i trudno wskazać osobę odpowiedzialną za dany błąd. Ponadto otwarty kod (o ile pozwala na to licencja) jest wykorzystywany przez komercyjnych dostawców oprogramowania.

Na wysłuchaniu był też Jerry Fishenden z Microsoftu, który powiedział, że odpowiedzialność za włamania ponoszą przede wszystkim ci, którzy ich dokonują. Natomiast Adam Laurie, programista i ekspert od bezpieczeństwa, zaznaczył, że zawsze istnieje konflikt pomiędzy funkcjonalnością a bezpieczeństwem. Uważa jednak, że programiści powinni ponosić odpowiedzialność za bezpieczeństwo swoich aplikacji jeśli twierdzą, że są bezpieczne.