Topp 25 programmeringsfeil
SANS har oppdatert sin liste over vanlige programmeringsfeil.
CWE (Common Weakness Enumeration)/ SANS (SysAdmin, Audit, Network, Security) sin liste består av de 25 mest kritiske programmeringsfeilene som begås, og som ofte fører til kritiske sårbarheter i applikasjoner, webapplikasjoner og nettsider. Hensikten med listen er å opplyse og utdanne programmerere, for å forebygge og hindre utvikling av sårbar programvare.
De 25 programmeringsfeilene er beskrevet og rangert etter hvor ofte feilen forekommer, konsekvens, kostnader for mottiltak, hvor enkle de er å oppdage, angrepsfrekvens (hvor ofte sårbarheten utnyttes) og angripernes bevissthet for sårbarheten. Det gis deretter en kort beskrivelse av programmeringsfeilen, tekniske detaljer, omfattende kodeeksempler, deteksjonsmetoder, referanser og til slutt omfattende informasjon om forebyggende tiltak som kan gjennomføres for å forhindre eller redusere sjansen for at slike feil oppstår.
Det anbefales tiltak som kan gjennomføres i alle faser av systemutvikling, som f.eks. forutsetninger og viktige aspekter som bør overveies ved oppsett av arkitektur, design, testing eller implementasjon. Det anbefales også viktige verktøy og teknikker mot de ulike programmeringsfeilene.
Listen er utviklet gjennom et samarbeid mellom SANS, CWE, og mange andre store selskaper i Europa og USA som har fokus på applikasjonssikkerhet.
NorSIS anbefaler
Sårbare applikasjoner er et økende og stort problem i dagens IT-samfunn. Grunnen til dette er et mangelfullt fokus på sikker kode under utvikling. I stedet for å angripe roten til problemet, så driver mange leverandører brannslukking i form av sikkerhetsoppdateringer som retter sårbarhetene i etterkant. For mange virksomheter og privatpersoner vil dette være for sent, og systemene/maskinene vil allerede være under angriperens kontroll. Det vil også i mange tilfeller være mer økonomisk med prosedyrer og tester som bidrar til sikker kode, i stedet for å kontinuerlig gi ut sikkerhetsoppdateringer i etterkant.
NorSIS anbefaler alle som driver med utvikling å sette seg inn i disse programmeringsfeilene og mottiltakene, for å forebygge sårbarheter i applikasjoner. Denne omfattende listen kan være et godt utgangspunkt for virksomheter som ønsker å utvikle rutiner for sikker kode, eller simpelthen bruke den som en sjekkliste under utvikling.
Standarder
Det finnes også standarder som fokuserer på sikker kode:
Les mer
Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.
