Tuttavia uno studio della Virginia Tech, focalizzato proprio sui post relativi alle domande su Java, ha evidenziato un aspetto abbastanza preoccupante. Sembrerebbe infatti che gli utenti che rispondono alle domande riguardati Java tendano ad ignorare le buone pratiche per la sicurezza, proponendo spesso l'introduzione di vulnerabilità all'interno dei sorgenti pur di risolvere un bug o di raggiungere un obbiettivo.

La security perspective viene quindi spesso a mancare, questo perché le vie più sicure per implementare una feature o per risolvere un bug sarebbero non di rado mal documentate e parecchio più complesse da applicare. Quindi, in buona parte dei casi i developer sceglierebbero la via più insicura ma più semplice da applicare per superare un problema, magari utilizzano vecchi metodi di criptazione basati sulle hash functions o scegliendo protocolli di comunicazioni obsoleti che, però, vengono ancora supportati da diverse API Java.

Quando queste abitudini arrivano nell'implementazione di software da utilizzare in ambienti di produzione si mette seriamente a rischio la sicurezza dei dati di aziende e individui.

Tali abitudini deriverebbero da una scarsa consapevolezza dei possibili rischi a cui ci si espone, elemento che si rifletterebbe anche sulle varie librerie Java che spesso non implementano regole severe in fatto di sicurezza e protocolli di criptazione, rimanendo ancorate a sistemi ormai obsoleti. Mancherebbe quindi una vera cultura della sicurezza all'interno del settore della programmazione Java.

Quello che le aziende e gli sviluppatori dovrebbero fare per migliorare questa situazione è spingere per la rimozione delle librerie ormai obsolete e sopratutto investire nella formazione alla sicurezza. In modo tale da migliorare le proprie skill e, al contempo, di riuscire a valutare i potenziali rischi dell'implementazione di una determinata strategia di sviluppo.

Via Help Net Security

CommentaDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *