25 najniebezpieczniejszych błędów, jakie popełniają programiści
Ponad 30 organizacji związanych z rynkiem IT połączyło siły, abypod kierownictwem ekspertów z Agencji Bezpieczeństwa Narodowego USA(U.S. National Security Agency), Departamentu BezpieczeństwaKrajowego Stanów Zjednoczonych (Department of Homeland Security),firm Microsoft i Symantec, opracować dokument zawierający listęnajbardziej niebezpiecznych błędów, jakie popełniają programiści.Dokument w pełnym brzmieniu będzie opublikowany w poniedziałek, narazie można zapoznać się z listą błędów uznanych przez zespół zanajgorsze, co może się zdarzyć, kiedy powstajeoprogramowanie. Na liście znajdziemy takie błędy, jak zostawianie "otwartych drzwi"dla różnych ataków, wysyłanie kluczowych informacji w postaciłatwego do odczytania czystego tekstu, zapisywanie haseł w kodzieprogramu. Dwa z wymienionych błędów, zdaniem SANS Institute,spowodowały że ponad 1,5 miliona stron www było wrażliwych naataki. O takiej ilości wiadomo, ponieważ luki były wykorzystane wciągu minionego roku. Celem dokumentu jest dostarczenie minimalnego zestawu wymagań,jakie powinno spełniać oprogramowanie, zanim trafi w ręceużytkowników. Niektórzy widzą w nim również kartę przetargową,której można użyć przy negocjacjach między producentemoprogramowania a nabywcą. Jest to też część większego zestawudokumentów, który być może będzie używany przez agencje stanowe docertyfikacji oprogramowania. Niestety, na chwilę obecną,perspektywy certyfikacji ograniczają się do projektów wykonywanychna zamówienie i prawdopodobnie oprogramowanie z certyfikatembezpieczeństwa będzie przywilejem organizacji rządowych. Nie ma narazie mowy o przyznawaniu takich certyfikatów szeroko dostępnymproduktom, na przykład systemom Microsoft Windows.
13.01.2009 03:00