تعاملت خلال السنوات الماضية مع العديد من المبرمجين سواء كانوا مستقلين أم شركات برمجية متخصصة بالبرمجة , جميعهم كانوا يبرمجون تطبيقات ويب خاصة بمواقع iSecur1ty , ومع تعاملي معهم لاحظت الإهمال الشديد جداً جداً في الجوانب الأمنية للتطبيق مما دفعني لاحقاً لبرمجة تطبيقات الويب بنفسي , لأن الوقت الذي كنت أظن نفسي بأني احفظه كنت أضيعه مع فريق عمل كامل بمراجعة التطبيق من الثغرات الأمنية حيث أذكر بأحد المرات إستخرجنا ما يقارب 22 ثغرة خطيرة جداً بالتطبيق قبل إطلاقه بشكل مباشر للمستخدمين.
والأغرب من ذلك انك عندما تراجع أحد هذه الشركات أو المستقلين وتخبرهم بأن أسلوب البرمجة لديهم ينقصه التحقق من الجانب الأمني وفلترة المدخلات وكتابة منطق التطبيق بشكل سليم يعتبرون أن أمن المعلومات شيء "ليس من إختصاصهم" وأنهم يعطوك التطبيق يعمل بالشكل السليم فحسب , حسناً على هذه الحالة فالمهندس يصمم لك البيت ويشرف على بنائه ولا يضع لك أي أبواب أو نوافذ أو حتى سقف وسوف نعتبر عمله أنجز بالشكل المطلوب !!!
يجب على كل مبرمج أن يأخذ امن المعلومات وأساليب كتابة التطبيق بشكل أمن من الأساسيات في عالم البرمجة لأنها من الممكن أن تؤدي إلى دمار أعمال كاملة في حال لم يتم الإكتراث لمثل هذه المشاكل , ويجب على كل مبرمج ومطور أن يقوم بمراعة الجوانب الأمنية في التطبيقات والأنظمة الخاصة بهم.
أنا لا أتحدث فقط عن المطورين بل حتى عن مديريين الأنظمة التي يتركون مشاكل في خوادم شركاتهم حدث ولا حرج عنها ويعتبرون أن النظام والشبكة تعمل بشكل سليم فأنا هنا محترف.
فهل تراعي أنت الجوانب الأمنية أثناء برمجتك لتطبيق معين أم تعتبر أن هذه أمور ليست من إختصاصك ؟ أو بالأساس تحب أن تهتم بالجوانب الأمنية ولكن ليس لديك الخبرة بتنفيذها أو بسياسات كتابة التطبيق الأمن.
التعليقات