Cherchez la femmeВводную заметку «Поддержка равноправия полов в компьютерной области» (Fostering Gender Diversity in Computing) написали приглашенные редакторы Джейн Чу Прей (Jane Chu Prey) и Альфред Вивер (Alfred Weaver), в которой они отметили, что в 2009 году в США 52% бакалаврских степеней в области биологии и 42% степеней бакалавра в области математики получили студенты женского пола, однако женщины получили всего 18% бакалаврских степеней в компьютерной области.

Компьютерная отрасль — одна из наиболее быстроразвивающихся отраслей экономики США, и компьютерные профессии входят в десятку наиболее престижных профессий, однако эта страна не может обеспечить подготовку профессиональных рабочих кадров в том объеме, который потребуется в близком будущем. К 2018 году в компьютерной области будет 1,4 млн рабочих мест, а университеты США смогут подготовить только 52% требуемых специалистов-бакалавров. В этой связи недостаточное привлечение женщин к работе в индустрии ИТ будет препятствовать инновациям, снижать продуктивность и конкурентоспособность. Кроме потенциальной потери талантливых новых специалистов, компьютерная индустрия будет терять и подготовленных профессионалов, уже проявивших интерес к своей работе. В то время как 74% профессиональных работников женского пола отмечают, что любят свою работу, 56% покидают свои компании в середине своей карьеры, когда такая потеря наиболее чувствительна для компании. У мужчин это случается вдвое реже. Что можно сделать для улучшения этой ситуации? Простого решения нет, и внимания заслуживают все звенья конвейера.

Первая регулярная статья тематической подборки называется «Равноправие в компьютерной области: почему это важно и как организации могут его достичь» (Diversity in Computing: Why It Matters and How Organizations Can Achieve It) и написана Венди Дьюбоу (Wendy DuBow). Женщины составляют 57% профессиональной рабочей силы, однако в компьютерной области процент женщин в два с лишним раза меньше, а в области инженерии (рис. 1) женщин еще меньше — в последние десять лет около 14%. В соответствии с данными Бюро статистики труда, в области ИТ работает совсем мало цветных женщин: доля азиатско-американских женщин составляет около 4%, афро-американских — 3% и испано-американских — 1%.

 

Рис. 1. Участие женщин в некоторых научных областях
Рис. 1. Участие женщин в некоторых научных областях

Женщины, работающие в компьютерной и инженерной областях, часто используются в качестве исполнителей, а не постановщиков задач, что ограничивает их возможности. Данные о патентовании технологий в США показывают некоторое улучшение дел в изобретательской активности женщин, но и здесь они сильно отстают от мужчин — например, доля патентов, выданных женщинам, увеличилась с 2% в 1980 году до 8% в 2010 году. Если принять точку зрения, что технологические новшества достигаются в тех случаях, когда люди в своих рассуждениях оказываются способны отойти от принятых норм, то в состав групп разработчиков следует включать специалистов с существенно разными взглядами. Привлечение большего числа женщин и других дискриминируемых сегодня частей населения к академической и производственной деятельности в компьютерной области не только позволит поднять уровень инноваций, но также будет способствовать социальной справедливости, позволяя им хорошо зарабатывать при выполнении работы, удовлетворяющей их интеллектуальные запросы.

Аналогичная точка зрения высказывается в статье «Заполнение конвейера: борьба с половым неравноправием в компьютерной области» (Priming the Pipeline: Addressing Gender-Based Barriers in Computing), авторами которой являются Телле Уитни (Telle Whitney), Дениз Гэммел (Denise Gammal), Барбара Ги (Barbara Gee), Джоди Мэхони (Jody Mahoney) и Каролин Симард (Caroline Simard); в статье «Расширение участия: почему и как» (Broadening Participation: The Why and the How), которую написали Кристал Ини (Crystal Eney), Эд Лазовска (Ed Lazowska), Хелен Мартин (Hеlеne Martin) и Стюарт Ригс (Stuart Reges); а также в статье «Обучение разнородных студентов компьютерным дисциплинам в Вирджинском университете» (Educating Diverse Computing Science Students at the University of Virginia), ее авторами являются Джеймс Коун (James Cohoon), Дж. Макграф Коун (J. McGrath Cohoon) и Мэри Лу София (Mary Lou Soffa).

Мари Фернандес (Mary Fernández) представила статью «Путь посредника: воспитание нового поколения компьютерных профессионалов» (A Path Between: Mentoring the Next Generation of Computing Professionals). В США государству требуется больше студентов, поступающих в университеты, заканчивающих обучение и приступающих к работе в научно-технических областях — в частности, в ИТ, для которых в следующие десять лет будет нужно  в  полтора раза больше новых рабочих мест. Однако к этому времени число выпускников университетов по соответствующим специальностям позволит удовлетворить менее половины ежегодной потребности, которая составляет 150 тыс. новых работников. Нехватка компьютерных профессионалов уже сегодня приводит к повышению расходов на поиск требуемых работников. В будущем возможны вредные воздействия на экономику и национальную безопасность США, поскольку и то и другое зависит от наличия хорошо подготовленной национальной рабочей силы. Решения этих проблем есть. Например, менторство способствует формированию нового поколения компьютерных ученых. Ментором может стать каждый компьютерный специалист, что обеспечит его собственный профессиональный рост и доставит удовольствие, принося при этом пользу обществу.

Последнюю крупную статью тематической подборки «Повышение уровня женского участия в компьютинге: история колледжа Харви Мадда» (Increasing Female Participation in Computing: The Harvey Mudd College Story) написала Мария Клейв (Maria Klawe). Одной из важнейших проблем, препятствующих совершенствованию технологий в США, является нехватка разработчиков программного обеспечения, компьютерных ученых и технических специалистов, получивших образование в колледжах и университетах. Из-за этого крупные компании и стартапы сильно конкурируют в привлечении выпускников-компьютерщиков. Несмотря на хорошие возможности карьерного роста процент выпускников женского пола, специализирующихся в компьютерной области, достиг минимального значения за последние тридцать лет. В течение четырех последних лет в колледже Харви Мадда значительно увеличилось число студенток с компьютерной специализацией.

В пяти кратких заметках тематической подборки излагаются точки зрения авторов относительно равноправия полов в компьютерной области специалистов из колледжа Брин-Мор (Bryn Mawr College), Индианского университета, Вашингтонского университета, технологического института Джорджия и компании Google. Авторы этих заметок описывают свой путь в компьютерную область, что их привлекло, что повлияло на решение заняться компьютерным делом, кто наставлял их в начале карьеры и почему они стали сторонниками равноправия полов в ИТ.

Вне тематической подборки опубликованы две крупные статьи. Первая из них написана Лвин Хин Шаром (Lwin Khin Shar) и Хи Бен Куан Таном (Hee Beng Kuan Tan) и называется «Ликвидация внедрения SQL» (Defeating SQL Injection). «Инъекции SQL» — метод внедрения кода для атак на сайты, когда в текст оператора SQL с применением доступной пользователям параметризации вставляются символы или ключевые слова, изменяющие ожидавшуюся логику оператора. Эта угроза существенна для любого веб-приложения, производящего доступ к базе данных посредством операторов SQL, которые конструируются с использованием внешних данных. Путем манипулирования данными для модификации операторов взломщик может вынудить приложение обратиться к базе данных с произвольной SQL-командой и тем самым нанести вред базе данных.

Организация Open Web Application Security Project (OWASP) считает, что SQL-инъекции представляют наибольшую угрозу безопасности сайтов. В 2011 году в базе данных Национального института стандартов и технологии (National Institute of Standards and Technology’s National Vulnerability Database) насчитывалось 289 уязвимостей к внедрениям SQL (7% от всех известных уязвимостей) на сайтах таких компаний, как IBM, Cisco, WordPress, Joomla и др. Сайты становятся уязвимыми к внедрению SQL из-за отсутствие должного контроля над значениями параметров, поставляемых пользователями. Исследователи предлагают различные способы решения — от простого статического до сложного динамического анализа кода. В 2006 году была опубликована статья (www.cc.gatech.edu/fac/Alex.Orso/papers/halfond.viegas.orso.ISSSE06.pdf), в которой оценивались известные на тот момент методы и обосновывалась потребность в более точных решениях. В статье Шара и Тана анализируются результаты, полученные в последние десять лет. Авторы установили, что разработчики сайтов могут эффективно бороться с внедрениями SQL, используя правильную комбинацию современных методов (рис. 2). Однако для этого им требуется хорошо понимать природу SQL-инъекций, а также то, как следует интегрировать имеющиеся методы защиты.

 

Рис. 2. Разработчики приложений могут противостоять SQL-инъекциям, используя различные схемы
Рис. 2. Разработчики приложений могут противостоять SQL-инъекциям, используя различные схемы

 

Последнюю крупную статью номера — «Shin: Обобщенное распространение доверия с ограниченным подтверждением» (Shin: Generalized Trust Propagation with Limited Evidence) — представили Чунг-Вей Хан (Chung-Wei Hang), Же Жан (Zhe Zhang) и Муниндар Сингх (Munindar Singh). В электронной коммерции и социальных сетях доверие (вера доверителя в то, что при взаимодействии с доверенным лицом будут получены ожидаемые результаты) основывается на взаимодействии анонимных агентов. В идеале доверитель должен основывать свое доверие к доверенному лицу на доказательстве или опыте работы с этим лицом. Но предварительные взаимодействия в динамической среде (типа Amazon) случаются редко. Для взаимодействия в подобных средах агенту приходится полагаться на рекомендации других агентов, которые основываются на своем опыте взаимодействий с доверенным агентом. Такими агентами, например, могут быть пользователи некоторого продукта, которым доверяет его потенциальный покупатель, поскольку их взгляды по поводу других продуктов близки. Существующие методы распространения доверия основаны именно на этой идее — используется последовательность рекомендаций от одного агента к другому. В большинстве методов распространения доверия предполагается, что доверие распространяется вперед через цепочку промежуточных агентов, каждый из которых доверяет следующему агенту. Такие связи естественным образом образуют сеть доверия — взвешенный направленный граф, в котором узлы представляют агентов, а дуги — направленные связи доверия, взвешенные уровнями доверия.

Однако доверие не всегда распространяется в прямом направлении, в особенности в сетях, включающих рейтинги продуктов или сервисов. Решение о взаимодействии с доверенным лицом часто основывается на обратном пути от оцененной сущности к ее оценщику. Например, при принятии решения о покупке монитора Джону можно было бы посмотреть на то, что другие люди говорят о каком-нибудь знакомом ему предмете, скажем о лаптопе. Наличие общих с некоторыми из этих людей точек зрения относительно этого лаптопа могло бы позволить ему довериться их оценкам монитора, который он собрался покупать. Существующие подходы к распространению доверия не позволяют предсказать уровень доверия, достигаемого в подобных сценариях, поскольку здесь для оценки уровня требуется движение назад (от лаптопа к его оценщикам), а не вперед.

Для удовлетворения потребности в доверии даже в тех случаях, когда отсутствует какая-либо прямая цепочка, авторы разработали обобщенный метод распространения доверия Shin («доверие» на китайском языке), в котором используется вероятностный подход для оценки уровня доверия путем сравнения оценок общих знакомых доверителя и доверенного лица. Анализ авторов показывает, что Shin обеспечивает лучшие возможности распространения доверия по сравнению с другими имеющимися методами в тех случаях, когда между доверителем и доверенным лицом имеется всего несколько прямых доверительных цепочек.

Всех вам благ, Сергей Кузнецов (kuzloc@ispras.ru).