前白宫负责电脑安全事务的顾问霍华德表示,软件开发人员应当对他们编写的代码的安全负责。

本周二在“SecureLondon 2005 ”会议上发言时,霍华德还呼吁对软件开发人员进行更好的培训。他说,他相信许多开发人员都不具备编写安全的代码所需要的技能。

他表示,在软件开发中,我们需要得到软件编程人员的保证:他们编写的代码是安全的。霍华德列举了最近会晤的一些开发人员为例,他们曾经开发了一个利用SSL 与后端数据库通讯的Web 软件。

他们使用了强大的认证技术、不容易破解的密码、加密的通道,存储的数据也被加了密,但当数据被传输至办公室时,数据没有被加密,这不是一个端到端的安全解决方案。我们需要每个开发人员都对端到端的安全解决方案负责。

霍华德还列举了微软最近的一项调查结果,即64% 的软件开发人员不相信他们能够开发出安全的软件。他认为,更好的培训是解决之道。

霍华德说,大多数的大学课程注重的都是可用性、可伸缩性、可管理性,而不是安全性。目前,许多大学都在开始注重信息安全,但传统上,Web 软件开发一直是以鼠标点击衡量的━━如何使用户点击。

霍华德表示,开发软件的厂商也要负责,在雇佣员工前要检查他们在安全编程方面的资质。

英国计算机协会也认为在软件开发中确实需要追究责任,但对员工编写代码的安全负责的应当是企业,而不是员工本身。

在接受采访时说,英国计算机协会的代表说,认为软件开发人员个人要对他们编写软件的安全负责,霍华德走得太远了,但我们赞同他考虑的方向。确保软件的安全性是公司的责任。

另外,许多安全***成功的原因都在于人们没有安装最新的补丁软件,或没有正确地安装系统。英国计算机协会的这名代表说,企业本身也需要为它们购买的软件的安全负一定的责任。