Неприбыльная организация Software Assurance Forum for Excellence in Code при спонсорской поддержке компаний EMC, Juniper, Microsoft, SAP и Symantec выпустила отчет с рекомендациями по проектированию и созданию ПО, более-менее защищенного от типовых ошибок и уязвимостей. В частности, предложено:

- минимизировать использование стандартных функций, некорректный вызов которых приводит к ошибкам (например, переполнению буфера при неаккуратно заданных параметрах), и применять их защищенные аналоги;

- использовать самые последние версии компиляторов, настраивая их на защиту от ошибок времени выполнения;

- применять средства статического и динамического анализа исходных и двоичных кодов на корректность;

- вручную проверять наиболее критичные участки кода;

- программно тестировать корректность входных и выходных данных;

- применять при создании веб-систем библиотеки, препятствующие XSS-атакам (“межсайтовому скриптингу”);

- формировать SQL-запросы не конкатенацией строк с константами, а с помощью параметров;

- отказаться от скомпрометированных алгоритмов шифрования (MD4, MD5, SHA1 и др.);

- организовать внутри приложения ведение рабочих и трассировочных протоколов.

Пресс-релиз

Версия для печати