安全专家ID排名前25位的编程错误

小组希望能列出25种最危险的编程错误,以使软件更安全,并为程序员提供更好的教育

一组安全专家和专家创建了25个最重要的编程错误列表,这些错误可能导致严重的软件漏洞。

通过非营利研究组织SANS研究所和MITRE的共同努力,周一,来自三十多个美国和国际网络安全组织的专家共同发布了共识列表。该小组说,错误是 最常见的错误 导致安全漏洞,并导致网络间谍活动和网络犯罪。

另请参阅Merkow和Raghavan的深入文章“开发人员的软件安全性”

“这些错误大多数是 不太了解 由程序员;计算机科学程序并未广泛教导如何避免它们;该组织的一份声明说:“他们的存在经常没有经过开发软件销售组织的测试。其中只有两个导致在2008年间发生了超过150万个网站安全漏洞,并且这些漏洞已累积到人们的计算机上他们访问了这些网站,将他们的计算机变成了僵尸。”

该组织表示,该清单现在将重点放在软件开发过程中出现的实际编程错误上,而不是由编程错误引起的漏洞上。

“有了前25名,我们可以在房屋被抢劫后花更少的时间与警方合作,而专注于在房屋发生之前锁上门。”保罗·库尔茨(Paul Kurtz)说,他是《美国国家安全网络空间战略》的主要作者,也是代码卓越软件保障论坛(SAFECode)的执行董事。

错误已分为3类:组件之间的交互不安全,风险资源管理和多孔防御。根据声明,希望是,识别这些常见错误将意味着程序员拥有工具,可以始终如一地衡量他们正在编写的软件的安全性。

“首先,我们需要确保每个程序员都知道如何编写没有前25个错误的代码,然后我们需要确保每个编程团队都有适当的流程来查找,修复或避免这些问题,并拥有相应的工具验证他们的代码所需的错误与自动化工具可以验证的一样,没有这些错误。” SANS总监Mason Brown说。

该组织表示,该清单最终将为购买者带来更安全的软件以及教育收益,因为大学将能够更自信地教授安全编码,而雇主将能够确保他们拥有可以编写更安全代码的程序员。 。前25名名单将发挥作用,并且不会成为OWASP前十名的竞争对手,因为它的目标是捕获各种软件,而不是 只是网络应用官员说。

可以在www.sans.org/top25/和cwe.mitre.org/top25/上查看该列表。该站点包含错误,并为程序员提供了如何避免这些错误的指南。

一些安全专家和组织为该项目提供了投入。这一努力最初是由国家安全局牵头的。 MITRE项目工程师的财务支持来自美国国土安全部的国家网络安全部门。

版权© 2009 IDG通讯,Inc.