由30多个计算机组织组成的组织采取了一些措施,旨在使软件更安全。
由美国国家安全局,国土安全部,微软和赛门铁克的专家领导,该组织计划在周一发布一份概述最危险的软件编程错误的蓝图。
该列表代表业界首次就软件编写时可能发生的最糟糕事情达成共识。
[更多阅读:如何从您的Windows PC中删除恶意软件]“前25名列表为开发人员提供了一套必须在客户使用软件之前必须根除的最小编码错误,”Ve技术总监Chris Wysopal说。 racode,在一份准备好的声明中。然而,该文件不仅仅是一份清单,还可以用作买家和软件供应商之间的谈判工具,安全培训组织SANS Institute的研究主管Alan Paller说。事实上,纽约州现在正在制定采购文件,供州政府机构使用,以使供应商证明其代码不包含这些编程错误。 Paller说,最终这会让供应商而不是国家负责,因为有问题的软件会导致安全问题。 “当软件被发现存在缺陷时……所有的经济责任都转移到他们身上。”Paller预计,如今这种几乎不为人知的认证将会变得更加普遍,因为如此大的一部分行业已经同意编程错误是最危险的。但他预计它将用于大型定制代码合约,而不是用于广泛分布式软件(如Microsoft Windows)的软件许可协议。
缺陷包括诸如允许SQL注入或跨站点脚本攻击,以明文形式发送易读的敏感信息,并将安全密码硬编码到程序中,如果发现它们很难更改。 SANS表示,其中两个错误导致去年超过150万个网站被破坏。这仅仅是一个开始:这些网络攻击通常被在线攻击者利用,然后针对冲过被黑网站的用户发起更多攻击。