On Wed 04 Jun 2014 00:32:40 CEST, rysiek wrote:
I should emphasize that that I personally consider these people to be extremely skilled. One possible conclusion that could be drawn from this experience is that a skilled backdoor-writer can defeat skilled auditors. This hypothesis holds that only accidental bugs can be reliably detected by auditors, not deliberately hidden bugs.
Discuss.
audyt audytem a testy testami imho. trzeba miec obydwa. duzo testow jednostkowych + integracyjnych do softu, tez w pelni otwartych i audytowalnych imho by zapobieglo wiekszosci poprzednich katastrof, najbardziej widoczne w przypadku goto fail. tam ewidentnie nie mieli testu na sciezke blednego certa.
jasne ze testy do "bezpieczenstwa" pise sie trudno, ale to nie znaczy ze sie nie da.