NSA помогает назвать самые опасные ошибки программирования

Группа из более чем 30 компьютерных организаций взяла на себя то, что некоторые называют большим шагом к обеспечению безопасности программного обеспечения.

Под руководством экспертов Агентства национальной безопасности США, Департамента внутренней безопасности, Microsoft и Symantec, группа планирует опубликовать в понедельник проект, в котором излагаются наиболее опасные ошибки в программном программировании.

Список представляет собой первый случай, когда индустрия достигла консенсуса в отношении худших вещей, которые могут произойти при написании программного обеспечения.

[Дальнейшее чтение: Как удалить вредоносное ПО с вашего ПК с Windows]

«Список из 25 лучших дает разработчикам минимальный набор ошибок в кодировании, которые должны быть устранены до того, как программное обеспечение будет использоваться клиентами», - сказал Крис Висопал, главный технический директор Ve racode в подготовленном заявлении.

Однако, не только список, этот документ может использоваться в качестве инструмента для переговоров между покупателями и поставщиками программного обеспечения, сказал Алан Паллер, директор исследования Института SANS, группы по обучению безопасности, которая возглавлял работу.

Фактически, штат Нью-Йорк сейчас разрабатывает документы о закупках, которые могут быть использованы государственными органами, чтобы заставить своих поставщиков подтвердить, что их код не содержит ни одной из этих ошибок программирования. В конечном счете это заставит поставщика, а не государство, отвечать, когда багги-программное обеспечение приводит к проблеме безопасности, сказал Паллер. «Когда обнаружено, что программное обеспечение ошибочно … вся экономическая ответственность переходит к ним».

Paller ожидает, что такая сертификация, практически неизвестная сегодня, станет более распространенной теперь, когда такая значительная часть отрасли согласилась на каких программных ошибках наиболее опасны. Но он ожидает, что он будет использоваться в крупных контрактах для пользовательского кодирования, а не в соглашениях о лицензировании программного обеспечения, используемых для широко распространенного программного обеспечения, такого как Microsoft Windows.

Недостатки включают такие вещи, как использование SQL-инъекций или межсайтовых скриптовых атак, отправка конфиденциальной информации в ясный текст, который может быть легко прочитан, и жесткие коды паролей безопасности в программы, где их трудно изменить, если они обнаружены. Список ошибок установлен для размещения здесь.

Две из этих ошибок привели к более чем 1,5 миллионам нарушений веб-сайта в прошлом году, сообщает SANS. И это было только начало: часто эти нарушения в сети использовались онлайн-атакующими, чтобы затем запускать больше атак против людей, которые занимались серфингом на взломанных сайтах.