-
141. Data: 2012-03-22 09:13:56
Temat: Re: Certyfikacja, było: Blad w oprogramowaniu Toyoty przyczyna wypadkow
Od: Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl>
W dniu 2012-03-22 02:12, A.L. pisze:
> On Wed, 21 Mar 2012 15:26:00 +0100, Paweł Kierski<n...@p...net>
> Pewnie. Ja tez uwazam ze specjalizacja lekarzy jst po gzryba
> potzrebna. KAzdy pzreciez umie leczyc. Zaraz po studiach. Kosztow
> specjalizacji w ewidentnt sposob nei warto ponosic.
Na to tez sa rózne spojrzenia - Marek Edelman - twierdził, że dobry
lekarz musi dobrze znać więcej niz jedną specjalność...
--
Kaczus
http://kaczus.republika.pl
-
142. Data: 2012-03-22 11:40:28
Temat: Re: Certyfikacja, było: Blad w oprogramowaniu Toyoty przyczyna wypadkow
Od: zażółcony <r...@c...pl>
W dniu 2012-03-21 17:07, Andrzej Jarzabek pisze:
> On Mar 21, 2:26 pm, Paweł Kierski<n...@p...net> wrote:
>> W dniu 2012-03-21 13:59, Andrzej Jarzabek pisze:
>>
>>> A to, e jak sam piszesz, problem krewnych jest ju nieaktualny,
>>> wiadczy jednak, e nawet w przypadku polskich prawnik w tego typu
>>> problemy daje si rozwi zywa .
>>
>> Co przypomina "Socjalizm dzielnie walczy z problemami nieznanymi
>> w innych systemach" 8-)
>
> No i faktycznie, sądy koraniczne w Somalii w ogóle nie mają takich
> problemów.
>
>>> osoba mog a takie us ugi oferowa . I nie m wi , e niekompetentni
>>> prawnicy z licencj si nie zdarzaj , tylko e by mo e jednak bez
>>> adnych licencji skala problemu by aby wi ksza.
>>
>> Ale mo e nadal akceptowalna, bo cena tych us ug by aby ni sza. Innymi
>> s owy - cz owiek mia by mo liwo wybrania potencjalnie gorszej jako ci
>> us ugi za ni sz cen .
>
> No ale skąd ma wiedzieć, co kupuje, skoro z definicji chce kupić
> usługi kogoś, kto się zna na czymś, na czym on sam się nie zna?
>
> Poza tym znowu masz ten problem, że korzystanie ze złych porad
> prawnych dotyka nie tylko tego, co korzysta, ale też innych. Jeśli np.
> firma popodpisuje umowy, które są nieważne, i z tego powodu nie będzie
> mogła się wywiązać ze swoich zobowiązań, to stracą przede wszystkim
> nie menedżerowie decydujący się na korzystanie z takich a nie innych
> "specjalistów" od prawa, ale też kontrahenci i wierzyciele.
>
> Oczywiście teoretycznie każdy mógłby wszystko kontrolować, ale nie
> bierzesz pod iwagę tego, że kontrolowanie wszystkiego jest strasznie
> kosztowne. Gdyby każdy biznes musiał negocjować możliwość
> skontrolowania każdego aspektu działalności każdego swojego
> kontrahenta, i każdy konsument musiał sam kontorlować wszystkich
> producentów i dostawców usług, z których korzysta, to po prostu koszta
> transakcyjne czegokolwiek byłyby tak gigantyczne, że cała gospodarka
> by się zawaliła.
Bo nie chodzi przecież o to, żeby kontrolować, tylko o to, żeby
różne aspekty ludzkiej działalności były bezpieczne. Aby to zapewnić
wybiera się punkty, w których ustawia się odpowiedzialność.
Punkty te wybiera się tak, żeby odpowiedzialność szła w parze
z kompetencjami i uprawnieniami. Taki jest model idealny.
W budownictwie (na marginesie: na placach budowy ciągle
mamy najwyższe wskaźniki wypadkowości, łącznie z wypadkami
śmiertelnymi) kierownik budowy i architekci stanowią takie
punkty, szczególnie, że wielu szarych obywateli chce budować
domy samodzielnie. Szary obywatel nie ma kwalifikacji, nawet,
jeśli ma chęci brania na siebie pełnej odpowiedzialności.
Podobnie jest z prawem jazdy: chęć brania odpowiedzialności
przez szarego obywatela to za mało, musi uzyskać 'certyfikat'
podstawowych umiejętności prowadzenia pojazdów (a i tak
jest to za mało).
Natomiast z oprogramowaniem jest nieco inaczej, dlatego, że
najczęściej pełni ono rolę usługową, pomocniczą, jest 'przykryte'
kompetencjami usług, które z niego korzystają. Np. jeśli
oprogramowanie CAD ma błąd i źle wylicza jakieś parametry
budynku, to odpowiedzialności za ten stan rzeczy nie bierze
programista, tylko w dalszym ciągu bierze ją architekt,
który takie oprogramowanie wybrał do swojego użytku.
Ale dobijając do brzegu: dopóki architekci budynków
sami nie domagają się, by część odpowiedzialności zrzucić
na "architektów oprogramowania" to imo nie ma o czym mówić,
po prostu nie ma problemu. Oznacza to, że czują się
bezpiecznie, pomimo złożoności oprogramowania narzędziowego
mają poczucie kontroli nad sytuacją i odpowiedzialność
jest ustawiona właściwie.
I w taki imo sposób należałoby podejść do całości
zagadnienia - nie od pomysłu 'certyfikacji informatyków'
w reakcji na bardzo ogólny problem "śmiertelny BUG",
ale przez przegląd różnych branż uzależnionych
od oprogramowania - i zbadania, czy właściwie są tam
'sparowane' kompetencje z odpowiedzialnością.
Jeśli piloci czy lekarze, czy kierowcy podnoszą problem,
że ich sprzęt działa wadliwie, jeśli instytucje kontroli
jakości czy badania wypadków podnoszą problem ryzyka lub
za dużej ilości wypadków - to wtedy coś jest na rzeczy.
Ale podkreśliłbym tutaj to, że poruszamy się w wąskich
specjalizacjach.
Moim zdaniem informatyzacja wszystkiego i postęp złożoności
jak najbardziej wymusza wprowadzanie nowych mechanizmów
kontroli i odpowiedzialności, ale te same zjawiska
powodują również, że certyfikowanie LUDZI jest
niewystarczające/nieadekwatne. Certyfikacji podlegają
całe systemy informatyczne, instytucje, procesy produkcyjne
i przyklepują ich np. tak jak u nas - osoby ze specjalnymi uprawnieniami.
Bardzo istotne jest też to, że są to osoby Z ZEWNĄTRZ,
czyli minimalizuje się przy okazji zjawisko KONFLIKTU
INTERESÓW.
-
143. Data: 2012-03-22 12:22:13
Temat: Re: Certyfikacja, było: Blad w oprogramowaniu Toyoty przyczyna wypadkow
Od: Andrzej Jarzabek <a...@g...com>
On Mar 21, 10:13 pm, Przemek O <p...@o...eu> wrote:
> W dniu 2012-03-21 00:03, Andrzej Jarzabek pisze:
>
> > Ojejku, naprawdę myślisz, że za każdym razem jak ktoś wjeżdża na most,
> > to się zastanawia, czy przypadkiem instytucje wydające uprawnienia
> > inżnierom lądowym są na pewno krystalicznie czyste?
>
> Normalny użytkownik nawet nie wie że jest taka instytucja.
Nie wnikając w kwestię jakiegoś idealnego "normalnego użytkownika",
myślę, że przynajmniej część normalnych użytkowników mostów, tzn.
takich, którzy nie mają jakiejś szczególnie ponadprzeciętnej wiedzy o
tym, jak się mosty buduje i jakie przepisy to regulują, jednak
przynajmniej dopuszcza możliwość, że istnieje jakaś forma certyfikacji
inżynierów projektujących mosty, i że w związku z tym istnieje jakiś
organ wydający owe certyfikaty.
Oczywiście że to wszystko nie oznacza, że go w ogóle interesuje co to
za organ - ale właśnie o to chodzi: sensem certyfikacji inżynierów nie
jest to, żeby użytkownik mostu myślał o tym, kto, komu i za co wydał
certyfikat uprawniający do projektowania mostów, tylko właśnie to,
żeby nie musiał o tym myśleć.
> Z drugiej strony jest powiedzenie, jak pomyśle jakim jestem inzynierem to aż boję
> się przejść do lekarza...
Jak ja pomyślę, jakimi inżynierami jest większość programistów, to się
bardzo cieszę, że mój lekarz jest certyfikowany.
> > Jak konsumet kupi coś tanio, a potem to coś wybuchnie i go zabije, to
> > też jest szkoda konsumenta
>
> Jeśli coś racjonalnie kosztuje np. 1000 jednostek a ktoś to kupi za 10
> jako niby nowe niby sprawne, to sam sobie podpisuje wyrok.
Kurcze, jakoś nie zauważyłem, żeby nowe Toyoty były 100x tańsze niż
inne samochody.
> > Kogo można pociągnąć do odpowiedzialności? Można pociągnąć firmę,
> > owszem, ale odpowiedzialność właścicieli firmy jest ograniczona do
>
> Jakaś podstawa prawna?
Ustawa Kodeks spółek handlowych z dnia 15 września 2000 r., Dz.U. 2000
nr 94 poz. 1037.
Oczywiście zależy to od formy działalności gospodarczej, ale tak jest
dla spółłek z o. o. i dla spółek akcyjnych.
> > wysokości udziałów - jeśli już sobie wypłacili zyski w dywidendach, to
> > nic im nie można zrobić. Można teoretycznie pozwać osobę podejmującą w
>
> Nie można? Guzik wiesz...
Poproś certyfikowanego prawnika, niech ci wytłumaczy.
> > Poza tym jak sobie wyobrażasz odpowiedzialność w przypadku biznesplanu
> > 90-10, w przypadku, kiedy to 10% ryzyko nie zachodzi? Kto w takiej
> > sytuacji miałby "pociągnąć do odpowiedzialności", na podstawie jakich
> > informacji?
>
> Jeśli nie zachodzi to o co chcesz pozywać? Chyba kota ogonem okręcasz.
Ja nie chcę pozywać, ja chcę, żeby takie sytuacje się zdarzały jak
najrzadziej. Jeśli masz 90% na to, że nie będzie negatywnych
konsekwencji, to ponoszenie takiego ryzyka może być całkiem opłacalne.
Uważam, że dobrym sposobem na minimalizację ilości takich sytuacji
jest karanie również w pozostałych 90% przypadków.
> > I dla tej samej zasady należy się przeciwstawiać certyfikacjom
> > zawodowym, bo jakiśtam promil wykorzystuje je do załatwiania jakichś
> > rzeczy krewnym i znajomym.
>
> Nie, bo promil powoduje błędy. Prościej, to że jeden facet zabija z
> użyciem noża nie może rodzic konsekwencji dla tysięcy używających go
> zgodnie z przeznaczeniem.
Dlaczego "nie może"?
> > Z kontekstu wnioskuję, że "wyeliminujesz" znaczy tutaj "zrobisz tak, że
> > nie będzie w ogóle". Mnie natomiast wystarczy, że będzie mniej.
>
> O... czyli tragedią jest śmierć 100 osób ale jednej to już nie?
Oczywiście, że śmierć jednej osoby jest tragedią, ale skoro nie można
zrobić, żeby tragedii nie było w ogóle, to lepiej zapobiec 99
tragediom, niż nie zapobiec żadnej.
> > Nie rozumiem, co to znaczy "na nic mu się to nie zda". Zakładamy
> <CIACH BREDNIE>
> > jedzenie zawierające szkodliwe dla zdrowia dodatki.
>
> Nie kombinuj, mówimy tutaj o wytwarzaniu produktu przez
> "certyfikowanych" lub nie pracowników, a nie o zaniedbaniach
> wynikających z eksploatacji. Inna bajka inne rozwiązania.
Mówimy o tym, czy przedsiębiorcy opłaca się czasem robić rzeczy, które
są społecznie szkodliwe, chociaż dla niego samego zyskowne. W
szczególności na przykład narażać swoich klientów na utratę życia,
zdrowia i majątku. Argument był taki, że certyfikacja nie jest
potrzebna, bo ryzyko strat na wskutek wybuchu jest wystarczająco dobrą
motywacją dla przedsiębiorców do zatrudniania odpowiednio
kompetentnych specjalistów. No więc otóż nie jest.
> >> Regulują, nie ograniczają.
>
> > Ograniczanie jest jedną z form regulowania. I owszem, również ograniczają.
>
> Chyba nie mamy o czym dyskutować, mamy wyraźnie inne punkty styku z
> rzeczywistością. Regulacja jest normowaniem stosunków.
A normowanie czasem polega na tym, że norma zabrania stronom tych
stosunków robić pewnych rzeczy.
> >> Korporacje zawodowe wprost ograniczają dostęp
> >> do reglamentowanych usług, czy to za sprawą małej liczby osób, czy też
> >> wysokich cen będących wynikiem braku normalnej konkurencji.
>
> > Nie zawsze.
>
> Przykład proszę.
NCEES.
> >> światopoglądowe, to i tak rozmawiamy o ogólnikach. Żeby zająć
> >> jakiekolwiek stanowisko w jakiejś sprawie potrzeba konkretu, projektu,
> >> gotowego do wdrożenia rozwiązania.
>
> > No to ja przedstawiłem przecież.
>
> Ty przedstawiłeś ogólnik, do konkretu mu jeszcze daleko. I właśnie
> dlatego uważam że dalsza dyskusja nie ma najmniejszego sensu.
Rozwiązanie jest na tyle gotowe do wdrożenia, na ile może być. Dalsza
konkretyzacja to już w zasadzie wdrażanie.
-
144. Data: 2012-03-22 12:25:01
Temat: Re: Certyfikacja, było: Blad w oprogramowaniu Toyoty przyczyna wypadkow
Od: Andrzej Jarzabek <a...@g...com>
On Mar 22, 8:13 am, Tomasz Kaczanowski
<kaczus@dowyciecia_poczta.onet.pl> wrote:
> W dniu 2012-03-22 02:12, A.L. pisze:
>
> > On Wed, 21 Mar 2012 15:26:00 +0100, Paweł Kierski<n...@p...net>
> > Pewnie. Ja tez uwazam ze specjalizacja lekarzy jst po gzryba
> > potzrebna. KAzdy pzreciez umie leczyc. Zaraz po studiach. Kosztow
> > specjalizacji w ewidentnt sposob nei warto ponosic.
>
> Na to tez sa rózne spojrzenia - Marek Edelman - twierdził, że dobry
> lekarz musi dobrze znać więcej niz jedną specjalność...
Nie zauważyłeś sarkazmu, czy uważasz, że nie ma różnicy między
posiadaniem więcej niż jednej specjalności, a nie posiadaniem żadnej?
-
145. Data: 2012-03-22 13:29:41
Temat: Re: Certyfikacja, było: Blad w oprogramowaniu Toyoty przyczyna wypadkow
Od: zażółcony <r...@c...pl>
W dniu 2012-03-21 15:04, Andrzej Jarzabek pisze:
> On Mar 21, 1:33 pm, zażółcony<r...@c...pl> wrote:
>> W dniu 2012-03-21 11:24, Andrzej Jarzabek pisze:
>>
>>> Żeby nie było, ja też się na tym nie znam, ale ja też nie twierdzę, że
>>> certyfikację należy wprowadzić. Ja tylko twierdzę, że należy (państwo
>>> czy organizacje ponadpaństwowe powinny) zebrać dane, zrobić analizę i
>>> jeśli wyjdzie, że (w jakichśtam sytuacjach, w jakimśtam zakresie)
>>> warto wprowadzić uprawnienia zawodowe, to należy wprowadzić
>>> uprawnienia zawodowe (być może w połączeniu z innymi środkami).
>>
>> Nie znam się na szpitalach czy samolotach, ale znam się
>> nieco na systemach bankowych i ochronie danych osobowych.
>
> No dobra, ale to nie są jakby kwestie życia i śmierci, nawet nie ma
> chyba praktycznie szansy na utratę przez klienta jakichś większych
> pieniędzy - co najwyżej coś komuś gdzieś nie tak wyskoczy i będzie
> musiał łazić do banku z zażaleniem, a jacyś pracownicy będą mieli
> trochę roboty z odkręcaniem problemu.
Proszę rozważyć potencjalne skutki i możliwości ich odkręcenia
po tym, jak z systemu bankowego wykradziono 'tylko' numery kart
kredytowych klientów.
> Największy problem jest faktycznie z ochroną danych i ogólnie
> bezpieczeństwem - gdyby np. ktoś niepowołany wyciągnął z banku listę
> aktywności i stanów na kontach klientów, to możnaby to potraktowac
> jako nieodwracalne szkody (chociaż oczywiście jeszcze samo to nikomu
> życia zrujnować ne musi).
j.w.
'Zrujnowanie życia' to rzecz względna. Ale akurat systemy bankowe
należą do tych, w których standardy bezpieczeństwa muszą być
na bardzo wysokim poziomie. Nie możemy tu mówić o różnicy
jakościowej w stosunku do systemów, od których bezpośrednio
zależy ludzkie życie, a raczej o tym, że jesteśmy szczebelek
niżej. Imo większość oprogramowania tworzonego na świecie
nie zbliża się nawet do tych wymogów.
-
146. Data: 2012-03-22 16:57:27
Temat: Re: Certyfikacja, było: Blad w oprogramowaniu Toyoty przyczyna wypadkow
Od: Andrzej Jarzabek <a...@g...com>
On Mar 22, 10:40 am, zażółcony <r...@c...pl> wrote:
> W dniu 2012-03-21 17:07, Andrzej Jarzabek pisze:
[...]
> Natomiast z oprogramowaniem jest nieco inaczej, dlatego, że
> najczęściej pełni ono rolę usługową, pomocniczą, jest 'przykryte'
> kompetencjami usług, które z niego korzystają. Np. jeśli
> oprogramowanie CAD ma błąd i źle wylicza jakieś parametry
> budynku, to odpowiedzialności za ten stan rzeczy nie bierze
> programista, tylko w dalszym ciągu bierze ją architekt,
> który takie oprogramowanie wybrał do swojego użytku.
No właśnie nie zawsze tak jest jak piszesz, często oprogramowanie
steruje różnymi rzeczami w czasie rzeczywistym i nie bardzo jest
możliwość skorygowania jego błędów. Jeśli np. na wskutek błędu w
oprogramowaniu samochód zacznie w niekontrolowany sposób przyspieszać,
to jest całkiem p-rawdopodobne, że certyfikowany kierowca nie będzie
mógł zbyt wiele zrobić, żeby uniknąć wypadku.
Dalej: nawet jeśli jest taka możliwość, powiedzmy jak w samolocie,
gdzie certyfikowany pilot może zdać sobie sprawę, że komputer
pokładowy wariuje, wyłączyć go i przejść na ręczne sterowanie, to nie
oznacza, że żle działające oprogramowanie nie jest poważym problemem,
bo za ewentualną katastroffę odpowiada pilot a nie producent
oprogramowania.
Dalej: użytkownik oprogramowania często w ogóle nie jest
certyfikowanym specjalistą, tylko zwykłym konsumentem. Jeśli ktoś np.
korzysta z bankowości internetowej, i wykorzystując błędy w
oprogramowaniu na jego pececie przestępcy wyczyszczą mu konto i
jeszcze nabiją na maksa kredyt, to raczej trudno powiedzieć, że
użytkownik sam sobie winien, bo skoro ma peceta, to powinien wiedzieć,
jak go zabezpieczyć przed takim atakiem.
> Ale dobijając do brzegu: dopóki architekci budynków
> sami nie domagają się, by część odpowiedzialności zrzucić
> na "architektów oprogramowania" to imo nie ma o czym mówić,
> po prostu nie ma problemu. Oznacza to, że czują się
> bezpiecznie, pomimo złożoności oprogramowania narzędziowego
> mają poczucie kontroli nad sytuacją i odpowiedzialność
> jest ustawiona właściwie.
No więc ja, jako użytkownik samochodów, samolotów, potencjalny pacjent
diagonozowany i leczony aparaturą medyczną, być może mieszkaniec
obszaru, będącego w zasięgu rażenia elektrowni atomowej, potencjalna
ofiara przestępców internetowych, i tak dalej, domagam się żeby
podejmować jakieś działania redukujące ryzyko mojej szkody. Domagam
się w ramach tego, żeby prowadzić badania na temat tego, jakie
działania przynoszą dobre rezultaty w stosunku do kosztów. I jeśli z
tych badań wyjdzie, że certyfikacja programistów, w jakichś
sytuacjach, w jakimś zakresie, byłaby odpowiednio skutecznym, w
stosunku do kosztów, środkiem, to domagam się, żeby olać marudzenie
kolesi, którzy np. mówią, że certyfikacja zła, bo wolny rynek cośtam
cośtam. I tyle.
Co z takich badań ewentualnie wyjdzie, tego oczywiście nie wiem. Gdyby
było wiadomo, to nie trzeba by robić badań. Może zresztą są jakieś
badania, ale ja nie śledze tematu, nie znam się na tym, więc i tak bym
nie wiedział. Ale gdyby metodologie były już opracowane, dane zebrane,
wnioski wyciągnięte, i należałoby się tylko po nie schylić, to tym
bardziej uważam, że państwo powinno się schylić i skorzystać z tych
wniosków.
> I w taki imo sposób należałoby podejść do całości
> zagadnienia - nie od pomysłu 'certyfikacji informatyków'
> w reakcji na bardzo ogólny problem "śmiertelny BUG",
> ale przez przegląd różnych branż uzależnionych
> od oprogramowania - i zbadania, czy właściwie są tam
> 'sparowane' kompetencje z odpowiedzialnością.
Problem jest taki, że ryzyko się kumuluje. Weź na przykład lotnictwo
cywilne: oczywiście, w wielu przypadkach katastrofy spowodowanej
błędem oprogramowania można powiedzieć "błąd pilota". Tylko że
postulat, żeby każdy pilot był tak wyszkolony, żeby nie popełniał
błedów nawet w najbardziej niesprzyjających warunkach, w momencie
kiedy wszystkie instrumenty podają mu nieprawdziwe dane, to fikcja.
Piloci cywilni już są certyfikowani, certyfikacja do przewożenia
pasażerów liniami lotniczymi i tak już jest ekstremalnie rygorystyczna
- jeśli podwyższysz wymagany poziom kwalifikacji tak, żeby tylko co
dziesiąty dzisiaj latający pilot mógł latać, to po prostu zarżniesz
lotnictwo. Jeśli powiesz pilotom, że nie mogą polegać na komputerze
pokładowym, to równie dobrze możesz ten komputer wymontować i wywalić
do śmieci. Co zresztą z punktu widzenia bezpieczeństwa byłoby
kompletnie bez sensu: komputery w samolotach znacznie częściej
zapobiegają czy korygują błędy pilotów, niż same generują błędy,
którym mógłby ewentualnie zapobiec pilot, gdyby go nauczyć nie ufać
komputerom.
Tak więc być może zwiększenie niezawodności opgrogramowania byłoby
skuteczniejszym sposobem zwiekszenia bezpieczeństwa lotów, niż zmiana
sposobu certyfikacji lub szkolenia pilotów. I być może właśnie
certyfikacja programistów byłaby najlepszym sopsobem na zwiększenie
niezawodności oprogramowania samolotów.
> Moim zdaniem informatyzacja wszystkiego i postęp złożoności
> jak najbardziej wymusza wprowadzanie nowych mechanizmów
> kontroli i odpowiedzialności, ale te same zjawiska
> powodują również, że certyfikowanie LUDZI jest
> niewystarczające/nieadekwatne. Certyfikacji podlegają
> całe systemy informatyczne, instytucje, procesy produkcyjne
> i przyklepują ich np. tak jak u nas - osoby ze specjalnymi uprawnieniami.
Jedno drugiego nie wyklucza. A chyba nie spodziewasz się, że audytor
zatwierdzający certyfikację typu ISO 9000 będzie mógł zauważyć, że
oprogramowanie używa wątków, a nie synchronizuje poprawnie dzielonych
danych. Albo choćby że kod jest nieczytelny.
> Bardzo istotne jest też to, że są to osoby Z ZEWNĄTRZ,
> czyli minimalizuje się przy okazji zjawisko KONFLIKTU
> INTERESÓW.
Jakoś przy budowie mostó niezależnie od tego, że masz nadzór z
zewnątrz, masz też wymóg certyfikacji inżynierów.
-
147. Data: 2012-03-22 17:49:43
Temat: Re: Certyfikacja, było: Blad w oprogramowaniu Toyoty przyczyna wypadkow
Od: Andrzej Jarzabek <a...@g...com>
On Mar 22, 12:29 pm, zażółcony <r...@c...pl> wrote:
> W dniu 2012-03-21 15:04, Andrzej Jarzabek pisze:
>
>
>
>
>
>
>
>
>
> > On Mar 21, 1:33 pm, zażółcony<r...@c...pl> wrote:
> >> W dniu 2012-03-21 11:24, Andrzej Jarzabek pisze:
>
> >>> Żeby nie było, ja też się na tym nie znam, ale ja też nie twierdzę, że
> >>> certyfikację należy wprowadzić. Ja tylko twierdzę, że należy (państwo
> >>> czy organizacje ponadpaństwowe powinny) zebrać dane, zrobić analizę i
> >>> jeśli wyjdzie, że (w jakichśtam sytuacjach, w jakimśtam zakresie)
> >>> warto wprowadzić uprawnienia zawodowe, to należy wprowadzić
> >>> uprawnienia zawodowe (być może w połączeniu z innymi środkami).
>
> >> Nie znam się na szpitalach czy samolotach, ale znam się
> >> nieco na systemach bankowych i ochronie danych osobowych.
>
> > No dobra, ale to nie są jakby kwestie życia i śmierci, nawet nie ma
> > chyba praktycznie szansy na utratę przez klienta jakichś większych
> > pieniędzy - co najwyżej coś komuś gdzieś nie tak wyskoczy i będzie
> > musiał łazić do banku z zażaleniem, a jacyś pracownicy będą mieli
> > trochę roboty z odkręcaniem problemu.
>
> Proszę rozważyć potencjalne skutki i możliwości ich odkręcenia
> po tym, jak z systemu bankowego wykradziono 'tylko' numery kart
> kredytowych klientów.
No, można zablokować karty i wydać nowe. Pytanie ile płatniości
złodzieje zdążą tymi kartami wykonać, ale takie ryzyko można chyba
wkalkulować. Mnie kiedyś złodzieje sklonowali kartę (nie mówię, że
włamując się do systemu bankowego), ale bez PINa zbyt wiele nie mogli
zrobić, zdołali kupić jakieś bilety do kina i benzynę na kilku
stacjach zanim bank zauważył i zablokował kartę - za drugim razem
chyba nawet niczego nie zdążyli kupić. Ja jako klient straciłem tylko
tyle, że nie miałem karty debetowej przez weekend - bank mi zwrócił
kasę, więc pewnie stracił tego patyka, ale ich stać.
Z drugiej strony wiadomo, że carderzy hurtowo jumają numery kart i
świat się od tego nie wali.
> 'Zrujnowanie życia' to rzecz względna. Ale akurat systemy bankowe
> należą do tych, w których standardy bezpieczeństwa muszą być
> na bardzo wysokim poziomie. Nie możemy tu mówić o różnicy
> jakościowej w stosunku do systemów, od których bezpośrednio
> zależy ludzkie życie, a raczej o tym, że jesteśmy szczebelek
> niżej. Imo większość oprogramowania tworzonego na świecie
> nie zbliża się nawet do tych wymogów.
Czy macie zapewnioną ciągłość działania systemu w wypadku ataku
nuklearnego na główne ośrodki miejskie?
-
148. Data: 2012-03-22 20:25:26
Temat: Re: Certyfikacja, było: Blad w oprogramowaniu Toyoty przyczyna wypadkow
Od: Kviat <kviat@NIE_DLA_SPAMUneostrada.pl>
W dniu 2012-03-22 16:57, Andrzej Jarzabek pisze:
> (...)
> No więc ja, jako użytkownik samochodów, samolotów, potencjalny pacjent
> diagonozowany i leczony aparaturą medyczną, być może mieszkaniec
> obszaru, będącego w zasięgu rażenia elektrowni atomowej, potencjalna
> ofiara przestępców internetowych, i tak dalej, domagam się żeby
> podejmować jakieś działania redukujące ryzyko mojej szkody.
Czyli uważasz, że certyfikowanie programistów jest właśnie tym
działaniem, które to ryzyko zredukują.
Czy zgodzisz się z tezą, że jeżeli certyfikowanie nie będzie miało
wpływu na redukcję ryzyka, to wprowadzanie takiego systemu nie ma sensu?
(tylko się upewniam, że nie jest to pomysł jedynie podparty ideologią
certyfikowania dla samego certyfikowania).
Bo jak rozumiem, certyfikat ma zapewnić polepszenie jakości programu.
Inaczej mówiąc, ma "zmusić" producentów oprogramowania żeby rzadziej
"wybuchało".
Jeżeli tak, to pozwolę sobie zacytować kawałek tekstu zaczerpniętego z
jednego z najbardziej popularnego "programu":
"OGRANICZENIE I WYŁĄCZENIE ODPOWIEDZIALNOŚCI ZA SZKODY. Microsoft
i dostawcy Microsoft ponoszą odpowiedzialność wyłącznie za szkody
bezpośrednie i do wysokości kwoty zapłaconej za oprogramowanie.
Licencjobiorca nie może dochodzić roszczeń z tytułu żadnych innych
szkód, w tym szkód wynikających z utraty zysków, szkód wtórnych, szkód
szczególnych, szkód pośrednich ani szkód ubocznych.
(...)
Ograniczenie to ma zastosowanie także w przypadku gdy:
? naprawa, wymiana lub zwrot kosztów oprogramowania nie rekompensuje
w pełni strat poniesionych przez Licencjobiorcę lub
? Microsoft wiedział lub powinien był wiedzieć o możliwości powstania
takich szkód."
A to tylko fragment. I jak zapewne wiesz Windows nie jest wyjątkiem.
I choćby taki producent zatrudnił tysiąc programistów z certyfikatem i
choćby drugi tysiąc certyfikowanych programistów sprawdzało tysiąc razy
kod przez nich napisany, to jeżeli pomimo tego "wybuchnie", to marna
pociecha dla użytkownika, któremu zniknęło z konta pierdyliard baksów
przez dziurę w systemie.
Dopóki użytkownik korzysta z oprogramowania _na_własne_ryzyko_ i dopóki
producent nie będzie zmuszony do ponoszenia odpowiedzialności to żadne
certyfikaty nie pomogą. A nie zostanie zmuszony. Ani przez
certyfikowanych programistów, ani ustawowo. Żaden, podkreślam żaden
programista, nawet z megahiper certyfikatem nie będzie w stanie zmusić
pracodawcy do testowania tworzonego kodu na wszystkich możliwych
kombinacjach sprzętowych, ze wszystkimi możliwymi wersjami sterowników
(firm trzecich) i wszystkimi możliwymi programami jakie sobie
potencjalny użytkownik zechce zainstalować samodzielnie. Łącznie z tymi
programami, które dopiero powstaną. O wirusach nie wspomnę.
Jaki jest sens wprowadzania certyfikacji, skoro jedyną osobą ponoszącą
konsekwencje używania programu jest sam użytkownik?
Albo inaczej: czy wprowadzenie certyfikowania miałoby dotyczyć
_wszystkich_ programistów, czy tylko niektórych?
Których?
> Domagam
> się w ramach tego, żeby prowadzić badania na temat tego, jakie
> działania przynoszą dobre rezultaty w stosunku do kosztów. I jeśli z
> tych badań wyjdzie, że certyfikacja programistów, w jakichś
> sytuacjach, w jakimś zakresie, byłaby odpowiednio skutecznym, w
> stosunku do kosztów, środkiem, to domagam się, żeby olać marudzenie
> kolesi, którzy np. mówią, że certyfikacja zła, bo wolny rynek cośtam
> cośtam. I tyle.
Uważam, że certyfikacja nie ma sensu - to próba uspokojenia sumienia
poprzez ignorowanie rzeczywistości. A w związku z tym, wydawanie kasy na
takie badania to marnotrawstwo.
Pozdrawiam
Piotr
-
149. Data: 2012-03-22 21:18:06
Temat: Re: Certyfikacja, było: Blad w oprogramowaniu Toyoty przyczyna wypadkow
Od: "slawek" <s...@h...pl>
Użytkownik "Kviat" <kviat@NIE_DLA_SPAMUneostrada.pl> napisał w wiadomości
grup dyskusyjnych:4f6b7cab$0$1259$6...@n...neostrada
.pl...
>> obszaru, będącego w zasięgu rażenia elektrowni atomowej, potencjalna
Pocedura tzw. "licencjonowania" (to nie jest ten rodzaj licencji jakie
znacie!) - są od tej procedury specjaliści - i to się robi. Między innymi
dlatego reaktory robi się "przestarzałe" - bo nowe konstrukcje wymagałyby
sprawdzenia - a te stare są już sprawdzone i jakoś działają.
> "OGRANICZENIE I WYŁĄCZENIE ODPOWIEDZIALNOŚCI ZA SZKODY. Microsoft i
> dostawcy Microsoft ponoszą odpowiedzialność wyłącznie za szkody
Te wszystkie disklajmery są bezwartościowe w Polsce, bo według prawa RP nikt
nie może sam wyłączyć się od odpowiedzialności.
Serio. Sam się kiedyś zdziwilem.
> Dopóki użytkownik korzysta z oprogramowania _na_własne_ryzyko_ i dopóki
> producent nie będzie zmuszony do ponoszenia odpowiedzialności to żadne
Niekoniecznie prawda. Np. reaktor jądrowy postawiony w Redmont może być "na
własne ryzyko" - ale jednocześnie jakby i na ryzyko MS.
> Jaki jest sens wprowadzania certyfikacji, skoro jedyną osobą ponoszącą
> konsekwencje używania programu jest sam użytkownik?
Np. jedyną osobą używającą windy w supermarkecie jest... ? No właśnie kto
jest?
-
150. Data: 2012-03-22 22:34:22
Temat: Re: Certyfikacja, było: Blad w oprogramowaniu Toyoty przyczyna wypadkow
Od: Andrzej Jarzabek <a...@g...com>
On 22/03/2012 20:18, slawek wrote:
> Użytkownik "Kviat" <kviat@NIE_DLA_SPAMUneostrada.pl> napisał w
>
>> "OGRANICZENIE I WYŁĄCZENIE ODPOWIEDZIALNOŚCI ZA SZKODY. Microsoft i
>> dostawcy Microsoft ponoszą odpowiedzialność wyłącznie za szkody
>
> Te wszystkie disklajmery są bezwartościowe w Polsce, bo według prawa RP
> nikt nie może sam wyłączyć się od odpowiedzialności.
>
> Serio. Sam się kiedyś zdziwilem.
Nie mówię, że nie (bo to jest temat dla licencjonowanego prawnika), ale
zauważę, że to nie jest sytuacja, kiedy ktoś się sam wyłącza od
odpowiedzialności, tylko kiedy ty (użytkownik), jako strona przystająca
do umowy, wyłączasz drugą stroną umowy od odpowiedzialności.