Die 25 gefährlichsten Programmierfehler

Die beiden von der US-Regierung unterstützten Security-Institute SANS und MITRE haben eine Liste der 25 gefährlichsten Programmierfehler veröffentlicht, die unter der Mitwirkung von 30 beteiligten Unternehmen erstellt wurde.

Zu diesen Firmen gehörten beispielsweise Symantec, Microsoft, die National Cyber Security Division des Department of Homeland Security und die Information Assurance Division der NSA, also nicht gerade kleine Namen.

Die Fehler sind in drei Kategorien unterteilt:

• unsichere Interaktion zwischen Komponenten (zum Beispiel mangelhafte Input-Validierung, SQL-Injection)
• riskantes Ressourcen-Management (unter anderem der „Buffer-Overflow“-Fehler).
• durchlässiger Schutz (beispielsweise durch schlechte Verschlüsselung oder hardkodierte Passwörter)

Ziel sei es nun, Softwareentwicklern das Wissen zu vermitteln, um diese Top 25 Fehler beim Programmieren zukünftig zu vermeiden.

Hinzu kämen noch langfristige Ziele wie

• das Entwickeln von Werkzeugen für Programmierer welche neue Softwareprodukte auf diese Sicherheitslücken prüfen
• Grundlagen für Ausbilder und Schulungsanbieter für Schulungen zu bieten, die helfen, die Programmierfehler zu vermeiden
• die Liste als zusätzlich Referenzmöglichkeit Arbeit- oder Auftraggebern  zu geben, mit der sie die Fähigkeiten von Bewerbern überprüfen können
• mit Hilfe von Zertifizierungsmechsanismen Softwarekäufern sicherere Software anzubieten

Eine detailierte Auflistung und Analyse dieser Top 25 Programmierfehlern mit ausführlichen Präventionsmaßnahmen findet Ihr auf cwe.mitre.org.

Und was ist mit Euch -  Programmiert Ihr immer absolut sicher, wenn Ihr das lest?