Das Online Magazin (IN)SECURE 1.6 ist erschienen. Die Ausgabe steht als PDF zum freien Download bereit. Einer der Leitartikel beschäftigt sich mit Enterprise Datenbanken. Best Practise Tipps aus der "Praxis":
http://www.insecuremag.com/
Ulf Mattson schreibt darin wie die Vertraulichkeit und Integrität von Enterprise Datenbanken sichergestellt werden können. Ich persönliche halte den Artikel etwas missglückt, da die üblichen Verfahren etwas kurt kommen, und dem Thema Verschlüsselung und externe Schutzsysteme zu viel Bedeutung zugemessen wird. Das dürfe wohl darin begründet sein dass Mattson der CTO von
Protegrity ist. Dieses Unternehmen verkauft Software Lösungen für diese Aufgaben.
In weiteren Artikeln findet man Informationen über Security Zertifizierungen, die Kosten von Spyware in Unternehmen, Buch Reviews oder News über Security Produkte und drei Beiträge über Web Sicherheit: Authentifizierte Sessions und PHP/SQL Sicherheit. und Apache Deny of Service Absicherung.
Desweiteren gibt es ein Interview mit Prof. Kenny Paterson (
Information Security Group, Royal Holloway, University of London) und einen Artikel über den Einsatz von Metriken mit der Open Source Security Testing Methodology (
OSSTM) und einen Bericht über War Driving auf der CeBIT 2006.
Gerade bin ich von einem Kurztripp zurück, da muss ich doch in
RMH's Blog lesen, dass er für seine Analysten-Beschäftigung die WebService Fähigkeiten der JEE5 Platform untersucht hat: JAX-WS ist fast so schlimm wie JAX-RPC. Letzteres hatte er, nachdem die Arbeiten für sein Buch
J2EE Web Services abgeschlossen waren schon mit dem Prädikat "bad, bad, bad" belegt. Immerhin noch 2 bads hat er für die Nachfolgertechnologie über:
Not only is the runtime behavior, including handler chains, still complicated but the number of annotations required could make source code (end-point interfaces or implementation classes) look like 20 kids tagged it with spray cans. It will be hard to see the code through all the annotations.
Und er stellt die Sun Entwickler in die Pflicht hier etwas besseres anzubieten:
Doubt what I'm saying? Try to implement the eBay and Amazon.com web services with JAX-WS 2.0 - if it's really easy than show me and I'll eat my words. There you go JAX-WS 2.0 team: A challenge! You guys ought to be ashamed of yourselves. You could have taken this opportunity to re-engineer J2EE web services into something really simple, but you decided to put lipstick on the Pig instead.
Stellt sich natürlich die Frage nach den Alternativen... welche WebService Libraries setzten Sie ein?
Weil ich nebenbei dran bin das Thema IT-Sicherheit im Software Entwicklungsprozess aufzubereiten, hier eine Liste von möglichen Motivationspunkten. Wovor soll geschützt werden...
- Das Image eines Software Unternehmens ist sehr wichtig. Vertrauen in die Beständigkeit und Leistungsfähigkeit des Softwarehauses ist eines der wichtige Auswahlkriterien bei der Beschaffung von Software..
- Zumindest in Deutschland kann sich ein Unternehmen nicht aus der Produkthaftung befreien. Auch bei Auftragsarbeit besteht das Risiko von Regressansprüchen
- Für bestimmte Einsatzbereich fordern Kunden Explizit Audits und Zertifizierungen des Entwicklungsprozesses. In bestimmten Bereichen wird dies auch durch Gesetzgeber oder Verwaltung gefordert. Compliance ist ein wichtiges neues Thema.
- Software Unternehmen sind der Prototyp eines IT-lastigen Unternehmens. Entsprechend wichtig ist ein Securitymanagement in diesem Bereich.
- Die IT gilt zwar gemeinhin als Rationalisierungsmittel, Software Hersteller und Beratungshäuser sind aber extrem personalintensive Dienstleistungsunternehmen. Der Faktor Mensch im Prozess bringt aber einige Probleme mit sich. Von personenbezogenen Daten über irrationales Verhalten (und der Herausforderung der Führung) bis hin zu den unvermeidlichen Fehlern.
- Unternehmen mit hohem Anteil an F&E stehen unter verstärkter Wettbewerbsbeobachtung bis hin zur Industriespionage. Der Schutz von Intellectual Property wird oft als wichtiger Überlebensfaktor angesehen. Mit den drohenden Softwarepatenten wird diese Situation nur schlimmer.
- Der Trend zur Software aus dem Regal (COTS) existiert auch in sicherheitskritischen Bereichen. Als Softwarehersteller kann man sich hier schnell in der Verantwortung finden. Menschenleben oder Menschenrechte können von der ordnungsgemäßen Funktion der Software abhängen.
Diese Gründe sprechen dafür der IT-Sicherheit im Entwicklungsprozess und im fertigen Produkt verstärkte Aufmerksamkeit zukommen zu lassen. Es gibt allerdings auch Herausforderungen zu meistern sind:
Continue reading "Sicherheit im Entwicklungsprozess"
Bei
AMD64DevX gibt es einen zweiteiligen Artikel (
P1,
P2) zur Konfiguration von LargePages für Java. Dabei wird für die BEA, IBM und Sun VM beschrieben wie Anwendungen mit großem Heap dieses Betriebsstem Feature (bei Linux und Windows) nutzen können.
Am Ende des Artikels findet sich einen Verweis auf das AMD's
CodeAnalyst performance analyzer der es ermöglicht genau zu sehen wieviele TLB Cache Misses die Anwendung für die Datensegmente noch hat.
Lustiger
Artikel im CW-Notizblog von Martin Seiler über das CRM bei der Post.
Sie hatte eine gute Nachricht: Das Paket liegt - obwohl der missglückte erste Zustellungsversuch schon über sieben Tage zurückliegt - immer noch in der Filiale. Man habe es wohl übersehen, was ein Glück für mich sei. Schön antwortete ich, und wo kann ich es nun abholen? Ja, das wisse sie leider nicht. Kein Problem, entgegnete ich, geben Sie mir die Telefonnummer, dann rufe ich eben an. Sie ahnen, was jetzt kommt. Genau, keine Nummer. Die nette Dame empfahl mir, doch zu den Postämtern hinzufahren.
So langsam kommt das CW Notizblog in Schwung.
Ich beobachte ja ein wenig die Blogs der IT-Redaktionen, und ich kann nur hoffen dass sich das
CIO-Blog auch noch in diese Richtung entwickelt. Die "
Info Center" bei cio.de sind nämlich drauf und dran langweiliges Buzzword Fast-Food zu werden und fliegen bald aus meiner Blogroll.