NSA i SANS tworzą listę najgroźniejszych błędów programistycznych

Amerykańska Agencja Bezpieczeństwa Wewnętrznego (NSA - National Security Agency) oraz SANS Instutite koordynują prace konsorcjum złożonego z ponad 30 firm z branży IT, którego celem jest zidentyfikowanie i zdefiniowanie 25 najbardziej popularnych i najniebezpieczniejszych błędów popełnianych przez programistów podczas tworzenia oprogramowania.

Organizacja, w skład której wchodzą - oprócz ekspertów z NSA - między innymi pracownicy Microsoftu oraz koncernu Symantec, opublikowała właśnie opracowanie opisujące najważniejsze błędy popełniane podczas tworzenia oprogramowania. Jest to pierwszy dokument, w którym najważniejsi gracze z sektora IT zaprezentowali wspólne stanowisko na temat największych problemów związanych z oprogramowaniem.

"Lista 25 najpoważniejszych błędów jest dla programistów wskazówką co do tego, jakich problemów powinni unikać podczas tworzenia aplikacji oraz jakich słabości szukać w oprogramowaniu przed udostępnieniem go klientom" - mówi Chris Wysopal, szef działu technicznego firmy Veracode (zaangażowanej w projekt koordynowany przez NSA i SANS).

"Ten dokument nie jest zwykłą listą - to może być także świetne narzędzie negocjacyjne, wykorzystywane podczas procesu kupowania oprogramowania na masową skalę" - mówi Alan Paller, szef działu badań SANS Institute. Już teraz władze Nowego Jorku tworzą nowe przepisy dotyczące zamówień publicznych. Znajdą one zastosowanie podczas przetargów na zakup oprogramowania - stający do przetargów producenci będą musieli przedstawiać certyfikaty, świadczące o tym, że ich produkty nie zawierają błędów wymienionych na liście. Co więcej - nowe przepisy przewidują też, że jeśli z powodu nieznanego błędu w zabezpieczeniach danego oprogramowania dojdzie do problemu z bezpieczeństwem (np. do ataku lub kradzieży danych), to odpowiedzialnością za to zostanie obarczony producent programu, a nie urząd, korzystający z danego programu.

Paller spodziewa się, że takie certyfikaty z czasem staną się standardem - będzie to możliwe właśnie dzięki temu, że tak wielu znaczących graczy z sektora IT zgodziło się na stworzenie wspólnej listy najpoważniejszych błędów. Przedstawiciel SANS zaznacza jednak, że certyfikaty znajdą zastosowanie raczej w transakcjach na najwyższym szczeblu (np. pomiędzy firmami a instytucjami administracji publicznej) - nie należy więc spodziewać się ich np. w licencji systemu Windows.

Lista luk podzielona została na trzy kategorie - mamy tu "Niezabezpieczoną interakcję pomiędzy komponentami oprogramowania" (zaliczono do niej 9 typów luk), "Ryzykowane zarządzanie zasobami" (również 9 błędów) oraz "Dziurawe zabezpieczenia" (7 luk). W zestawieniu znalazły się m.in. błędy pozwalające na przeprowadzanie ataków typu SQL injection oraz cross-site scripting (XSS), błędy związane z przepełnieniem bufora, problemy z kontrolowaniem dostępu do danych lub aplikacji, czy korzystanie ze złamanych lub podatnych na złamanie algorytmów szyfrujących.

Pełne zestawienie 25 najgroźniejszych błędów programistycznych (wraz ze szczegółowymi opisami) znaleźć można na stronie SANS Institute.


TOP 200