Az NSA segíti a legveszélyesebb programozási hibákat

Több mint 30 számítógépes szervezetből álló csoport vette át azokat, amelyek egyike nagy lépésnek számít a szoftver biztonságosabbá tétele érdekében.

Az USA Nemzeti Biztonsági Ügynöksége, a Belbiztonsági Minisztérium, a Microsoft és a Symantec szakértői, a csoport azt tervezi, hogy hétfőn kinyomtatja a legveszélyesebb szoftverprogramozási hibákat felvázoló tervet.

A lista az első alkalom, amikor az iparág megegyezésre jutott a legrosszabb dolgokról, amelyek történhetnek a szoftver írása során.

[További olvasmány: A rosszindulatú programok eltávolítása Windows számítógépről]

"A top 25 lista a fejlesztők számára minimális kódolási hibákat tartalmaz, amelyeket fel kell számolni, mielőtt a szoftvereket az ügyfelek használják" - mondta Chris Wysopal, a Ve

Több mint egy lista, azonban a dokumentumot a vásárlók és a szoftvergyártók közötti tárgyalási eszközként is fel lehet használni, mondta Alan Paller, a SANS Intézet kutatási igazgatója. a munkát irányította.

Valójában a New York-i állam jelenleg olyan közbeszerzési dokumentumokat dolgoz ki, amelyeket az állami szervek használhatnának annak érdekében, hogy az értékesítőik igazolják, hogy kódjuk sem tartalmazza ezeket a programozási hibákat. Végső soron ez azt jelenti, hogy az eladó, és nem az állam felelőssége, ha a hibás szoftverek biztonsági problémához vezetnek, mondta Paller. "Amikor a szoftver hibásnak tűnik … az összes gazdasági felelősség átkerül nekik."

Paller arra számít, hogy a mai gyakorlatilag ismeretlen titokzatosság egyre gyakoribbá válik, amikor az ágazat ilyen nagy része megállapodott milyen programozási hibák a legveszélyesebbek. De elvárja, hogy ezt a nagyméretű egyedi kódolási szerződéseket használják fel, nem pedig a széles körben elterjedt szoftverekhez hasonló szoftverengedélyezési megállapodásokhoz, mint például a Microsoft Windows.

A hibák olyan dolgokat tartalmaznak, mint például SQL injection vagy cross-site scripting támadások engedélyezése, érzékeny információkat küld világos szövegben, amelyek könnyen olvashatók és kódolhatók a biztonsági jelszavak a programokba, ahol nehezen lehet változtatni, ha felfedezték őket. A hibák listája jelenik meg itt.

A fenti hibák közül kettő több mint 1,5 millió weboldalt sújtott az elmúlt évben, mondta a SANS. És ez csak a kezdet: Gyakran ezek a webszakaszok használták az online támadókat, majd több támadást indítottak azok ellen, akik a feltört webhelyeken szörnyelték.