IT-sikkerhed på en udviklerkonference?

De sidste mange år, er jeg blevet forsøgt lokket med til Jaoo-konferencen, der hedder Goto i dag. Det er dog først i år jeg har overgivet mig, og nu sidder og ser frem til at opleve den. Goto-konferencen er en af de største udviklerkonferencer i verden. Jeg er ikke selv udvikler, men jeg rådgiver en del udviklere fra tid til anden.

I mit daglige arbejde, er jeg ofte i kontakt med udviklere. Vi kommer ud til mange forskellige projekter under udvikling, og ser mange forskellige måder at konstruere software og systemer på. Mit fokus er sikkerhed, og det generelle billede er, at sikkerhed stadig ikke bliver prioriteret særlig højt på udviklingsbudgettet. Når det endelig gør, er det ofte færdigkøbte sikkerhedsprodukter, der tillægges projektet når resten er færdigt, og så antageligt skal sørge for al sikkerheden i systemet. Alt for mange ”færdige” systemer er ikke sikret overfor meget basale sårbarheder, som f.eks. SQL Injections.

Er det projektlederne og deres overordnede, der prioriterer sikkerhed for lavt? – Eller er det udviklerne der ved for lidt om sikkerhed?

De forrige år har jeg takket nej til Jaoo, med den begrundelse at der ikke var nogen sikkerhedsorienterede foredrag. I år lød beskeden fra min kammerat, at der skulle være et helt ”security track”. Men det er vist en overdrivelse. På konferencens hjemmeside finder man deres Topics Tag Cloud i menuen, og ordet ”Security” er der faktisk, om end ikke så stort. Der er fire foredrag om sikkerhed. Et om Identity Management, et om hvordan Cloud Computing måske kan sikres, et om Incident Response hos Microsoft, samt et enkelt om sikkerheden i webapplikationer. De nævnte foredrag afholdes i konferencens mindste lokale – konferencens planlæggere har måske tænkt det samme som mange undervisere, uddannelsesinstitutioner og virksomheder; ”Det der med IT-sikkerhed, det er ikke så spændende igen”