Le développeur nouvelle génération ?

Ce matin je suis tombé sur un lien intéressant parlant de copier/coller dans un terminal.

Ce lien m a inspiré le billet que voilà. Tout développeur normalement constitué connait bien le fameux site :stackoverflow et pastebin. En effet ces deux sites sont régulièrement utilisés pour résoudre des problèmes que vous avez.

J avais effectué il y a deux ans une petite étude rapide sur une phrase dans Google « se connecter à une base SQL en java » et le retour avait indiqué que 8 réponses sur 10 menaient à des techniques permettant d’effectuer des injections SQL…Dont un lien vers stackoverflow avec une très grande popularité sur la solution (non je vous le copierai pas…).

Lors des différents audits de code, dojo de correction, formations sécurité du développement, je pose régulièrement des questions pièges(et aussi pour tester le niveau de connaissance) aux personnes présentes (souvent des développeurs et architectes) et je suis (à prendre au second degré…) parfois amusé de voir leur réponse..

Je vous donne le processus utilisé :

  1. Rechercher dans Google
  2. Cliquer sur le premier lien parlant (soit un site connu, soit sinon le premier résultat en français, soit un site qui semble bien.)
  3. Reprendre mot pour mot ce qui est écrit

Et on s’aperçoit que c’est le processus standard utilisé par les équipes de développement avant de se plonger vers le wiki interne

Ce processus est réellement risqué. En plus de ne pas correctement augmenter la connaissance, il peut faire peser sur le projet certains risques que le développeur ne voit pas :

  1. Le risque juridique et légal : lorsque l’on copie-colle du code, c’est un vol  de propriété intellectuelle ; le code produit et copié à été produit pour un projet précis et l’inclure dans son propre code comme cela n’est pas forcément autorisé.
  2. Le risque de failles de sécurité ; en effet vu que l’on ne connait pas le framework/outil/éléments, et que l’on est sous pression on s’occupe pas de savoir si c’est une faille ou non, on copie-colle, on teste, si ça marche on commit.
  3. Le risque d’appauvrissement :  Faites attention a ce dernier point ami développeur, regarder la quantité de code disponible sur google.com/github.com et qui ont peut être été entrés dans un Watson….Si vous ne savez pas comment fonctionne ce que vous utilisez, vous pourrez bientôt être remplacés par des machines…

 

 

Sur ce, bon week-end

 

De la transparence en sécurité….

Si vous suivez l’actualité correctement vous avez surement vu que L’état américain du Massachusetts publie les breches de données .

Chose très intéressante, pour les statistiques ,mais a mon sens aussi pour faire avancer le schmilblick ou le serpent de mer de la sécurité.

En effet, nos amis américains ont depuis très longtemps l’obligation de prévenir des breches de données intervenants dans leur organisme, enfin pas pour tous les états (comme rappelé dans l’excellent livre Failles de sécurité et violation de données personnelles ).  Nous avions effectivement le reglement européen du paquet telecom qui s’est traduit en 2013.

Néanmoins, vous pouvez noter qu’on a vu peu d’affaires depuis cette date…. On se demande surement pourquoi malgré les différentes alertes que l’on peut lire régulièrement.

Alors comme cela je lance un pavé, est-ce que si la CNIL publiait réellement les brèches qui lui sont remonté publiquement comme l’a fait l’état du Massachusetts, cela changer quelque chose ? Et bien je pense que oui ca va changer des choses, l’affaire CDiscount/CNIL a fait pas mal de bruit (et encore plus a l’intérieur a mon avis), car il a du falloir à CDiscount gérer le problème de couverture médiatique du sujet…..

Souvent, cela nous permet facilement d’appuyer en sécurité sur le bon bouton pour faire bouger les choses. Alors si j’avais un vœu pro a faire pour cette année 2017, je demanderai à la CNIL de mettre en place plus de transparence encore sur le sujet des brèches de données, sachant que nous allons surement en avoir de plus en plus….

Sur ce, bonne année 2017, et n’hésitez pas a réagir !