ZDNet: Es wurde von mehreren Schwachstellen berichtet, die auf Fehler im Handling der Skype-URLs zurückzuführen sind. Durch Klicken auf einen böswilligen Link soll ein PC kompromittiert werden. Wurden Ihnen diese Probleme alle zuerst direkt mitgeteilt?
Sauer: Ja. Ich verfügte durch meine Arbeit bei Sun bereits über Erfahrungen mit Reaktionen auf Sicherheitslücken. Daraus habe ich für Skype gelernt, wie wichtig eine transparente Kommunikation mit denjenigen ist, die eine Sicherheitslücke melden.
Eine Möglichkeit, es sich mit der Forschergemeinde in Sachen Sicherheit gründlich zu verscherzen, ist es, sich völlig in Schweigen zu hüllen und gar nicht zu reagieren. Einige Forscher sind an einem Austausch nicht interessiert, aber mit denjenigen, die dies wünschen, versuchen wir in einen Dialog zu treten.
ZDNet: Hat sich die Qualität des Skype-Code verbessert, seitdem Sie bei der Firma sind?
Sauer: Vor etwa drei Jahren hatten wir noch einige Probleme mit unserer Qualitätssicherung. Wir haben an Code-Tests und Unit Testing gearbeitet, um die Qualität unseres Codes zu verbessern. Im Zeitraum von vor zwei Jahren bis vor einem Jahr ergab sich die Notwendigkeit, die eigentliche Code-Entwicklung besser zu organisieren. Daher habe ich dafür gesorgt, dass Software stärker gegenseitig begutachtet wird, ehe sie endgültig veröffentlicht erscheint.
ZDNet: Glauben Sie, dass alle notwendigen Prozesse eingeführt wurden, um sicherzustellen, dass die veröffentlichte Software so wenig Fehler wie möglich enthält?
Sauer: Ich glaube nicht, dass es Unternehmen gibt, die nicht noch dazulernen können. Ich denke nicht, dass wir das perfekte Software-Entwicklungsunternehmen sind. Mit jeder zusätzlichen Kontrollstufe ist ein Aufwand an Zeit und Kosten verbunden. Man muss eine vernünftige Entscheidung treffen, wie viel zusätzlichen Aufwand man während des Produktentwicklungszyklus betreiben will.
Ich glaube nicht, dass wir jemals damit fertig werden, an unserer Software herumzubasteln, um die Qualität noch besser zu machen. Aber die gegenseitige Begutachtung ist wirklich eines der besten Mittel gegen schlechten Code, das man sich denken kann. Denn niemand setzt seinen Kollegen gerne schlecht geschriebenen Code vor.
Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…
Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…
Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.
Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…