(in)segurança: Responsabilizar os produtores de SW?

Alan Paller, director da área de investigação da SANS:

Quase todos os ataques são viabilizados por erros [de programação] que criam um ponto de apoio para os atacantes. A única forma de erradicar os erros de programação é tornar as organizações que desenvolvem software legalmente responsáveis pelos erros.

in Hold vendors liable for buggy software, group says, um artigo na ComputerWorld, a propósito de um movimento que exige a alteração dos contratos de licenciamento de software, aumentando a responsabilidade dos produtores.

Não é um tema simples, como é óbvio... Nem me parece que exista uma resposta imediata para esta pergunta. Mas talvez faça sentido identificar um conjunto mínimo de controlos e verificações que, obrigatoriamente, tenham que ser realizados nos programas. E (ou) um conjunto de testes mínimos, igualmente obrigatórios, que tenham que ser realizados e certificados por entidades independentes para reforçar a qualidade e, naturalmente, a confiança nos produtos que são lançados no mercado, um pouco á imagem do que se faz com outros produtos e bens de consumo.

Talvez fosse importante definir uma certificação de qualidade e segurança, não apenas para os processos de desenvolvimento mas, como complemento a certificações de qualidade e segurança que possam existir neste momento, uma certificação dirigida especificamente aos produtos, cujos critérios de avaliação poderiam servir, em primeira instância, para obrigar os produtores a tornar os testes ao software mais rigorosos e, também, mais exaustivos.

Uma certificação desta natureza iria ajudar a distinguir, certamente, aquilo que é o trigo, daquilo que é o joio. E valorizar, aos olhos dos consumidores, os produtos cujo processo de desenvolvimento incluiu critérios de segurança mais estritos. O custo? Aumentaria um pouco, eventualmente. Mas... não é também verdade que o custo da segurança em todos os outros produtos, aos quais não admitimos falhas dessa natureza, já é suportado por todos nós, os clientes, quando adquirimos esses produtos? Haverá uma diferença?

Food for thought... e os comentários são bem-vindos.