Een internationale groep beveiligingsorganisaties en -bedrijven heeft een lijst opgesteld met de vijfentwintig gevaarlijkste programmeerfouten. De groep hoopt dat softwareklanten de lijst gebruiken om van softwareleveranciers te eisen dat door hen geleverde code veilig is.
In de hoop de cybercriminaliteit terug te dringen, heeft een internationale groep beveiligingsorganisaties en -bedrijven een lijst opgesteld van de vijfentwintig programmeerfouten die het grootste online beveiligingsrisico's met zich meebrengen. Het gaat volgens de groep om fouten die programmeurs vaak niet begrijpen, waarover opleidingen meestal niet onderwijzen en die softwareontwikkelaars over het algemeen niet meenemen in hun testcyclus.
De groep beveiligingsorganisaties hoopt dat softwareklanten de lijst gebruiken om van softwareleveranciers te eisen dat door hen geleverde code deze fouten niet bevat. Daarnaast kan de lijst gebruikt worden door ontwikkelaars van testomgevingen, onderwijsinstellingen en bedrijven die software ontwikkelen. De lijst zal regelmatig worden geüpdate.
Gevaarlijke foutboodschappen
De vijfentwintig fouten zijn onderverdeeld in drie aandachtsgebieden: onveilige interactie tussen componenten, riskant beheer van databronnen en poreuse verdedigingslinies. Er vallen voor de hand liggende fouten onder zoals gebruik van ondeugdelijke cryptografische algoritmes, maar ook minder voor de hand liggende zoals foutboodschappen die per ongeluk programmeergeheimen in de openbaarheid brengen.
Onder de opstellers van de lijst bevinden zich beveiligingsexperts van onder andere beveiligingscoördinatiecentrum CERT, het SANS Institute (System, Audit, Network, Security) en van bedrijven als Microsoft, Oracle, Red Hat en Symantec.
Heel goed deze lijst, maar ik maak en verkoop software aan banken, multimationals etc., geloof mij de meeste ict-manager die beslissen over de aankoop hebben geen idee wat er achter de schermen gebeurt. Ze zijn te ver weg van de technische kant.
Ook al zouden ze deze lijst gebruiken, hoe kunnen ze het effectief testen?
Ik ga die lijst gebruiken voor intern gebruik voor de software, maar ik betwijfel of managers het gaan gebruiken…
Frederik Van Lierde
http://www.SilverSandsAssociates.com
@Frederik: Ik zou de lijst niet alleen intern gebruiken, maar zeker ook als marketingtool en in gesprekken. Als jij kan aantonen dat jouw oplossing in ieder geval bestand is tegen de lijst van 25, zonder dat de klant daarom hoeft te vragen, dan heb je al een grote pre.
Het gaat hier vooral om bewustmaken van managers, niet het effectief laten testen door de managers. Veel managers weten niet wat ze aan hun leverancier moeten vragen en dat is makkelijker met deze lijst.
Al enige tijd voorzien wij in een presentatie bij multinationals (waaronder financiele instellingen) met als titel ’13 critical questions to ask your vendor about security’. Ook deze presentatie heeft als doel de mindset ten opzichte van security van aanwezigen te veranderen en ze bewust te maken van risico’s.
Het testen kan je dan weer aan experts over laten, binnen of buiten de organisatie. Wij leveren sinds jaren diensten als code reviews en pentesting, gericht op het vinden van security zwakheden en het dichten van lekken.
De overheid zou in sommige bedrijfstakken SOFTWARE TESTEN verplicht moeten stellen.