ブラック ハット現代のソフトウェア開発の中心には、イノベーションを破壊している腐敗があり、情報セキュリティの伝説的人物である Moxie Marlinspike 氏は、その原因がアジャイル開発にあることを正確に理解していると考えています。
マーリンスパイク氏は、Black Hatの2日目のオープニング講演で、表向きはBlack Hatの創設者ジェフ・モス氏との炉辺談話となるはずだったが、Signalの創設者であるモス氏が、20年を経て失われてしまったソフトウェア開発の「魔法」を取り戻すための主張を展開し、注目を集めた。その失われた力は、開発者を「ブラックボックスの抽象化レイヤー」に押し込め、革新に必要な自由を奪ってしまったことにあると彼は主張した。
「エンジニアリング組織を管理している人は誰でも、何らかの形でアジャイルの下流、派生、領域、または関連のある管理哲学を持っているはずです」とマーリンスパイク氏は語った。
ブラックハットでのモクシー・マーリンスパイク氏(左)とイベント創設者のジェフ・モス氏(右) - クリックして拡大
アジャイルチームは、エンジニアリングの専門知識とビジョンを組み合わせて既存のテクノロジーに新しい機能を見出すことができるような方法で開発者がボトムアップで作業できるようにするのではなく、サイロ化されて互いに別々に作業し、他のチームが何をしているかをほとんど把握できない状態になってしまう、と彼は主張した。
また、これらのブラック ボックス チームは、自社製品の動作原理に関する基礎的な部分に対する可視性が欠けている傾向があると、Thistle Technologies の創設者兼 CEO である Window Snyder 氏は、Black Hat Locknote のまとめセッション中に付け加えました。
プログラミングを学ぶ学生が学んでいるのは、低水準言語やマシンコードとのやり取りの方法ではなく、単にアプリ開発をスムーズにする高水準言語であり、エンジニアには、自分たちのパズルのピースが、より大きく、広範に相互接続された全体の中でどのように当てはまるかを理解するために必要なコンテキストが与えられていない、とスナイダー氏は述べた。
マーリンスパイク氏が午前中に説明したように、これによってソフトウェア エンジニアは派生的なものしか作ることができなくなっている。
「私がここで描こうとしているのは、過去 20 年間、人々をブラック ボックスの抽象化レイヤーに閉じ込め、さらにブラック ボックスの抽象化レイヤーで構成された組織に閉じ込めることで、人々をソフトウェアに馴染ませてきたということだ」とマーリンスパイク氏は述べた。
- 調査によると、アジャイルソフトウェアプロジェクトの失敗率は268%高いことが判明
- 脆弱なアジャイル開発モデルは、プロジェクト失敗の原因ではなく、症状である。
- アジャイル宣言の共著者が失敗率レポートを批判し、「再構想」プロジェクトを主張
- 研究支持者:アジャイルの壊滅的な取り組みは新機能を過度に強調している
マーリンスパイク氏は、「理解は、ソフトウェアにおける重要な発展と発見の歴史のほとんどの基礎である」と主張した。
そして、大規模なエンジニアリング組織の「膨らんだ」集団の中でなければ、そのような理解はどこで見つけられるのでしょうか? セキュリティ研究者です - 当然です。
情報セキュリティのプロが救世主
ソフトウェアエンジニアリングは過去数十年にわたり、より速く、より柔軟になり、さらにはより抽象化されるよう努めてきたが、セキュリティ研究者はそれと正反対のことを行ってきたとマーリンスパイク氏は述べた。
「セキュリティとは、物事がどのように機能し、その背後に何があるのかを実際に理解するために抽象概念を調べるプロセスであり、時にはそれを最初に構築した人々よりも理解を深めるプロセスである」と彼は主張した。
「私が言おうとしているのは、この部屋にいる皆さんは知らないうちに、実は自分たちの地球を受け継いでいるのではないかということです」と彼は続けた。
ソフトウェア開発には魔法がある、とマーリンスパイク氏は主張し、その仕組みを理解することは、才能ある者は知識と杖だけで世界を変えることができる、ハリー・ポッターの世界で魔法を習得することに似ていると述べた。
彼は続けて、情報セキュリティ関係者は、私たちが挙げることができる主要登場人物の何人かとは違って、実際には宿題が嫌いではなかったホグワーツの生徒のようなものだ、と述べた。
「(セキュリティ担当者は)図書館に座って呪文を学び、実際にこの仕組みを理解している人たちです。ハリー・ポッターの世界のように、この知識を活用するために必要なのはコンピューターだけです」とマーリンスパイク氏は付け加えた。「しかも、高性能である必要はありません。」®
