В середине января институт SANS и корпорация MITRE при поддержке компаний Microsoft и Symantec, а также агентства национальной безопасности и министерства внутренней безопасности США анонсировали программу, которая объединяет производителей софта, согласных придерживаться рекомендованного набора практик при создании ПО. Этот набор, в частности, позволяет избавиться от 25 самых распространенных ошибок, понижающих надежность и защищенность софта. Данному подходу предлагается обучать студентов, а компании при приеме программистов на работу будут проверять кандидатов на знание этих практик. Инициативу уже поддержали 30 крупных организаций.

Типовые баги разбиты на три категории: небезопасное взаимодействие между системами (9 ошибок, например, некачественная проверка ввода или детальное сообщение о дефекте, дающее хакерам излишне подробную информацию), управление рискованными ресурсами (9 ошибок, например, скачивание по сети исполнимого файла без контроля его целостности), и “дырявая” защита (7 ошибок, например, использование скомпрометированных алгоритмов шифрования или некачественных генераторов случайных чисел). Данный список, включая советы по профилактике, будет обновляться регулярно. В дополнение к нему сайт cwe.mitre.org предлагает перечень из сотен чуть менее важных типовых программных и архитектурных дефектов, которые также надо уметь предотвращать.

Пресс-релиз

Версия для печати