‘Stel ontwikkelaars verantwoordelijk voor softwarefouten’

Ook dit jaar lanceren het SANS Institute en MITRE weer een lijst met de 25 gevaarlijkste programmeerfouten. Belangrijkste nieuwigheid is de toevoeging van een standaardcontract om softwarebouwers verantwoordelijk te stellen voor fouten die leiden tot securityproblemen.

Ook dit jaar lanceren het SANS Institute en MITRE weer een lijst met de 25 gevaarlijkste programmeerfouten. Belangrijkste nieuwigheid is de toevoeging van een standaardcontract om softwarebouwers verantwoordelijk te stellen voor fouten die leiden tot securityproblemen.

Het gerenommeerde SANS Institute, gespecialiseerd in opleiding rond it-security, en MITRE, een ngo die informatie en kennis over ict inzet voor het algemeen goed, hebben net als vorig jaar een [lijst met de 25 gevaarlijkste programmeerfouten] uitgebracht. De 25 programmeerfouten worden net als vorig jaar opgedeeld in 3 grote categorieën: onveilige interactie tussen componenten, risicovol beheer van resources en een lekkende ict-verdediging.

“Die 25 programmeerfouten waren oorzaak van zowat elke grote cyberaanval, waaronder de recente inbraken bij Google, elektriciteitscentrales, militaire systemen en miljoenen andere aanvallen bij kleine bedrijven en thuisgebruikers”, stellen beide organisaties. Ze kregen voor de lijst input van 28 internationale security- en softwareorganisaties (waaronder de NSA, Apple, Microsoft, Juniper, McAfee, …)

Opvallend is dat de lijst dit jaar vergezeld wordt van een [‘standaardcontract’ tussen softwarekopers en de softwarebedrijven]. Dat werd opgesteld door cybersecuritywerkgroep van de staat New York. In dat contract wordt de leverancier onder meer verplicht om de softwarecode grondig te onderzoeken op fouten en ook z’n ontwikkelaars herhaaldelijk securitytraining te geven. Dat om kopers zo min mogelijk verantwoordelijk te stellen voor securitygaten in softwarecode die ze zelf niet hebben geschreven.