Koalicja specjalistów ds. bezpieczeństwa z ponad 30 organizacji zachęca przedstawicieli firm do umieszczania w umowach z dostawcami oprogramowania klauzul, zobowiązujących twórców aplikacji do korzystania z ogólnie przyjętych zasad tworzenia bezpiecznego kodu.
Inicjatorami pomysłu są organizacje SANS Institute oraz Mitre Corp - ich przedstawiciele tłumaczą, iż wprowadzenie takich wymogów jest obecnie koniecznością i jedną z niewielu metod, która faktycznie może zmusić twórców oprogramowania do zadbania o bezpieczeństwo ich produktów.
Propozycja specjalistów jest prosta - chcą oni, by firmy kupujące aplikacje wymagały od ich twórców udowodnienia, iż kod powstał zgodnie z zasadami tworzenia bezpiecznego kodu. Jeśli później okaże się, że dostawca do takich zasad się nie stosował, to kontrahent będzie mógł żądać od niego odszkodowania. Podstawą do takich roszczeń mógłby być np. skuteczny atak na ową aplikację, przeprowadzony przez błąd, który nigdy nie powinien się w niej pojawić (gdyby była napisana zgodnie z zasadami).
"Prawie wszystkie ataki na oprogramowanie przeprowadzone są z wykorzystaniem prostych błędów programistycznych, które umożliwiają hakerom wprowadzenie złośliwego kodu. Obawiam się, że jedynym sposobem na wyplenienie tych błędów jest umieszczenie w umowach z dostawcami oprogramowania zapisów, w myśl których będą oni odpowiedzialni za straty powstałe w wyniku ataków przeprowadzonych przez takie luki" - komentuje Alan Paller, szef działu badań SANS Institute.
Warto wspomnieć, że specjaliści z SANS i Mitre opublikowali niedawno listę 25 najpoważniejszych błędów programistycznych - z dołączonego do niej raportu wynikało, że to właśnie wymienione w spisie błędy zostały wykorzystane we wszystkich głośniejszych atakach informatycznych ubiegłego roku (dotyczy to również słynnego ataku na Google i kilkadziesiąt innych amerykańskich firm, przeprowadzonego prawdopodobnie przez Chińczyków).
Na pierwszych trzech miejscach listy znalazły się następujące błędy programistyczne: buffer overflow (czyli błąd przepełnienia bufora - zwykle umożliwia nieautoryzowane uruchomienie kodu w systemie), SQL Injection oraz cross-site scripting (te luki umożliwiają umieszczenie w bazie danych lub na stronie WWW złośliwej zawartości).
Redakcja Computerworld.pl nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
To
A
Akurat
Ja
Mołot:
@IP:
A
Dla
Nic
 |
Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME - Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
© Copyright 2010 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88
Grupa Złomrex, obejmująca prawie 50 spółek wyrosła na pierwszoplanowego gracza w polskiej branży hutniczej i metalowej, z obrotami przekraczającymi 4 mld złotych. W przedsiębiorstwie, zatrudniającym ponad 4000 pracowników, wykorzystywany jest system wspomagający zarządzanie IFS Applications. Poznaj jak przebiegało jego wdrożenie.
Czego oczekują klienci, w jakim kierunku będzie rozwijał się rynek, jak budować przewagę konkurencyjną? O usługach telekomunikacyjnych mówi Piotr Sieluk, prezes zarządu GTS Energis.
"Analogicznie do outsourcingu w poprzednich latach, w nadchodzących stawiamy na utility computing, rozumiany zarówno jako udostępnianie zasobów sprzętowych, platformy, jak i aplikacji w sposób dopasowany do zmieniających się potrzeb klienta" - mówi Artur Wieretiło, dyrektor generalny HP Enterprise Services w Polsce.
