Premetto, io non sono uno sviluppatore
Non so quante volte in 12 anni di lavoro ho sentito questa frase. Premetto, io non sono uno sviluppatore. L’ho sentita dire nei contesti più disparati: alla consegna di una code review, durante progetti opensource, durante sessioni di awareness, durante talk di sedicenti influencer.
Durante le esperienze all’estero, non mi è mai capitato.
Questo mi fa riflettere su due temi importanti.
SERIE A e SERIE B
Siamo sinceri, in Italia gli sviluppatori sono considerati meno di zero. Prendete una società di consulenza X, il classico percorso di carriera prevede l’ingresso come sviluppatore e l’evoluzione in project manager. Sempre. Se una persona (eviterò il termine risorse, sempre odiato) dopo 5 o 6 anni sviluppa ancora, dalla propria azienda è considerato poco più che un fallito.
In realtà, alla società stessa converrà avere senior con le palle che fumano ma non lo ammetterà mai e, soprattutto, non gratificherà mai queste persone come chi ha seguito il più canonico carreer path.
Ne consegue che, purtroppo, lo sviluppatore è considerato l’anello più infimo della catena ICT. Nel nostro bel paese, ovviamente.
Parlo di cose che non conosco
Io, per poter diventare uno specialista di sicurezza applicativa migliore e capire come dare maggior valore aggiunto a chi “subiva” le mie review, ho fatto una scelta azzardata. Ho smesso i panni da appsec e sono andato a fare lo sviluppatore per un anno e mezzo in una media company. Da junior? No no, da senior.
Quello che non mi soddisfaceva del modo con cui facevo consulenza era che, venivo costretto a dare pillole di application security agli sviluppatori senza sapere nulla del loro lavoro.
Inutile dire che i miei colleghi di allora, non capirono il perché di una scelta decisamente inusuale. Sarei potuto essere un ottimo project manager, guardate che bel foglio di calcolo in stile kanban ho fatto per Stand by Wordpress. Ricordo dissero ad un po’ di conoscenze comuni, tra le quali alcuni clienti dove ero stato, che mi ero stufato della sicurezza e che non facevo più quel lavoro. Paragonate i deliverable miei e loro, ora dopo questa scelta e ne riparliamo.
La mia convinzione, forte oggi come allora, è che una persona che si occupa di sicurezza applicativa debba avere un background da sviluppatore. Debba capire le dinamiche di un team di sviluppo. Debba sapere le pressioni e le sollecitazioni alla quale si è sottoposti e debba sapere mettere mano al codice.
Altrimenti si è dei fanfaroni. E ne conosco svariate decine.
Off by one
Se io porto la macchina a fare la revisione e chi mi parla dovesse confessare ah guardi, io però prendo la bici perché non sarei in grado di guidare, bhé mi darebbe qualche dubbio.
Appare chiaro che potrei non essere bravo, a parità di seniority, come le persone a cui ho appena fatto review. Potrei. Di sicuro se penso che mettere le mani nel codice non rientri tra le cose che devo saper fare, forse è meglio che la smetta di occuparmi di sicurezza applicativa e che vada a fare il presales che è meglio.
Se stai leggendo CodiceInsicuro mi aspetto ti piaccia un po’ il tema metto in sicurezza il codice mio e degli altri. Ecco, se sei un mio felice lettore allora aderisci a questa campagna:
CodiceInsicuro ama gli sviluppatori e non si vergogna di dirlo
Compito di oggi? Cercati un corso di coding o segui Coursera ed iscriviti a qualcosa che ti metta in gioco. Ne beneficierai sia tu ma anche i tuoi clienti.
Enjoy!
Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.
Supporta il progetto