Komponenter

NSA Hjelper Navn De fleste farlige programmeringsfeil

NAV: Et mangehodet monster!?

NAV: Et mangehodet monster!?
Anonim

En gruppe med mer enn 30 datamaskinorganisasjoner har tatt det som noen kaller et stort skritt mot å gjøre programvaren sikrere.

Ledet av eksperter fra det amerikanske sikkerhetsbyrået, Department of Homeland Security, Microsoft og Symantec, gruppen planlegger å publisere i mandag en utskrift som beskriver de farligste programmeringsfeilene.

Listen representerer første gang bransjen har nådd konsensus om de verste tingene som kan skje når programvare skrives.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Topp 25-listen gir utviklere et minimums utvalg av kodingsfeil som må utryddes før programvare brukes av kunder," sier Chris Wysopal, sjefsteknologsjef med Ve koden, i en utarbeidet erklæring.

Mer enn bare en liste, kan dokumentet imidlertid brukes som forhandlingsverktøy mellom kjøpere og programvareleverandører, sier Alan Paller, forskningsdirektør med SANS Institute, en sikkerhetsopplæringsgruppe som Spearheaded arbeidet.

Faktisk utvikler New York-staten innkjøpsdokumenter som kan brukes av offentlige byråer for å få sine leverandører til å bekrefte at deres kode ikke inneholder noen av disse programmeringsfeilene. Til slutt vil det gjøre selgeren, ikke staten, ansvarlig når buggy-programvare fører til et sikkerhetsproblem, sa Paller. "Når programvaren er funnet å være feil …, forandres alt økonomisk ansvar til dem."

Paller forventer at denne typen sertifisering, nesten ukjent i dag, vil bli vanligere nå når en så stor del av næringen har avtalt på hvilke programmeringsfeil er farligst. Men han forventer at den skal brukes i store skreddersydde kontrakter i stedet for i programvarelisensavtalen som brukes for distribuert programvare som Microsoft Windows.

Feilene inkluderer ting som tillater SQL-innsprøyting eller cross-site scripting angrep, sender sensitiv informasjon i klar tekst, som lett kan leses, og hardkodende sikkerhetspassord til programmer, hvor de er svære å endre hvis de oppdages. Listen over feil er satt til å bli lagt ut her.

To av disse feilene førte til mer enn 1,5 millioner nettsiderbrudd i fjor, sa SANS. Og det var bare starten: Disse webbruddene ble ofte brukt av online-angripere, og deretter lanserte flere angrep mot folk som surfer på de hackede nettstedene.