De 25 gevaarlijkste programmeerfouten

Meer dan 30 ict-securityorganisaties zijn het eens geworden over een lijst van de 25 gevaarlijkste programmeerfouten die kunnen leiden tot securitybugs.

Meer dan 30 ict-securityorganisaties zijn het eens geworden over een lijst van de 25 gevaarlijkste programmeerfouten die kunnen leiden tot securitybugs.

De lijst wordt gepubliceerd door het gerenommeerde SANS Institute, gespecialiseerd in opleiding rond it-security, en MITRE, een ngo die informatie en kennis over ict inzet voor het algemeen goed. Aan de lijst droegen ruim 30 Amerikaanse en internationale securityorganisatie bij, gaande van Symantec over NSA tot OWASP.

“Het is schokkend te zien hoe veel van die fouten slecht begrepen zijn door programmeurs”, schrijft project manager Bob Martin van MITRE. “Dergelijke fouten vermijden wordt niet voldoende aangeleerd in informaticalessenpakketten. En de aanwezigheid van de fouten worden vaak niet eens getest door organisaties die commerciële software ontwikkelen.”

Volgens SANS-directeur Mason Brown was het opvallend te zien hoe snel de experts het eens waren over de lijst. “Er blijkt een brede eensgezindheid te bestaan over de programmeerfouten. Maar nu is het tijd om ze op te lossen. Eerst moeten we er zeker van zijn dat elke programmeur weet hoe code te schrijven zonder die top 25-fouten.” Hij wil ook de nodige tools en processen om ze op te lossen en te voorkomen.

De lijst en alle randinformatie is te vinden [op de website van SANS]. De lijst is onderverdeeld in drie grote blokken: ‘Onveilige interactie tussen componenten’, ‘Risicovol beheer van resources’ en ‘Lekke verdedigingsmechanismen’.