NSA מסייע שם טעויות תכנות מסוכנים ביותר

קבוצה של יותר מ -30 ארגוני מחשב לקחה כמה מהם קוראים צעד גדול לקראת הפיכת התוכנה מאובטחת יותר.

בראשות מומחים של הסוכנות לביטחון לאומי של ארה"ב, המחלקה לביטחון המולדת, מיקרוסופט וסימנטק, מתכננת הקבוצה לפרסם ביום שני תוכנית אב המתאר את שגיאות התכנות המסוכנות ביותר.

הרשימה מייצגת את הפעם הראשונה שבה התעשייה הגיעה להסכמה על הדברים הגרועים ביותר שיכולים לקרות כאשר התוכנה נכתבת.: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

"הרשימה המובילה של 25 נותנת למפתחים ערכת מינימום של שגיאות קידוד שיש לבטלן לפני השימוש בתוכנה על-ידי לקוחות", אומר כריס ויסופאל,, אמר ד"ר אלן פאלר, מנהל מחקר במכון SANS, קבוצת הדרכה ביטחונית, שמטרתה לשמש מסמך למשא ומתן בין קונים לספקי תוכנה. הובילה את העבודה.

למעשה, מדינת ניו יורק מפתחת כעת מסמכי רכש שניתן להשתמש בהם על ידי רשויות המדינה כדי להפוך את הספקים שלהם מאשרים כי הקוד שלהם אינו מכיל שגיאות תכנות אלה. בסופו של דבר זה יהפוך את הספק, לא את המדינה, אחראית כאשר התוכנה באגי מוביל לבעיות אבטחה, אמר Paller. "כאשר התוכנה נמצאה פגומה … כל האחריות הכלכלית עוברת אליהם."

Paller מצפה כי סוג זה של הסמכה, כמעט לא ידוע היום, יהפוך נפוץ יותר עכשיו כי חלק כה גדול של התעשייה הסכים על מה שגיאות תכנות מסוכנים ביותר. אבל הוא מצפה שזה ישמש בחוזים גדולים של קידוד מותאם אישית ולא בהסכמי רישוי תוכנה המשמשים לתוכנות מבוזרות כמו Microsoft Windows.

הפגמים כוללים דברים כגון מתן הזרקת SQL או התקפות Scripting בין אתרים, שליחת מידע רגיש בטקסט ברור, אשר ניתן לקרוא בקלות, קשה קידוד סיסמאות אבטחה לתוכניות, שם הם קשה לשנות אם גילה. רשימת השגיאות אמורה להיות מוצגת כאן.

שניים מהחרקים הללו הובילו ליותר מ -1.5 מיליון אתרי אינטרנט בשנה שעברה, אמר SANS. וזה היה רק ​​ההתחלה: לעתים קרובות, אלה הפרות אינטרנט היו בשימוש על ידי התוקפים באינטרנט כדי לשגר מכן התקפות נוספות נגד אנשים שגלשו את האתרים פרוצים.