Эксперты назвали 25 самых опасных ошибок программистов

Агентство национальной безопасности США и специалисты по кибербезопасности из более чем 30 организаций составили список 25 самых опасных ошибок программирования.

Агентство национальной безопасности США и специалисты по кибербезопасности из более чем 30 организаций составили список 25 самых опасных ошибок программирования.

Список содержит ошибки, которые могут раскрыть некоторое количество уязвимых мест в защите, которые и являются целью киберпреступников. Эксперты утверждают, что сами программисты не всегда понимают природу возникновения этих ошибок. Согласно данным  SANS Institute, в одном 2008 году только две из перечисленных в списке ошибки привели к взлому 1, 5 млн сайтов.

Агентство ANI отмечает, что специалисты такого уровня впервые собрались вместе для составления списка наиболее опасных ошибок программного кода. В состав экспертной комиссии вошли представители таких известных организаций, как Microsoft, Symantec, Министерство национальной безопасности США (DHS), SANS Institute и MITRE.

«Этот список из 25 пунктов демонстрирует разработчикам программного обеспечения минимальный набор самых распространенных ошибок кодирования от которых надо избавляться на стадии разработки, прежде чем конечный продукт дойдет до потребителя», — заявил в интервью BBC директор по технологиям Veracode Крис Уоспол. В свою очередь, директор SANS Institute Мейсон Браун отметил: «Мы пришли к соглашению касательно программных ошибок. Пришло время их исправлять. Мы должны быть уверены в том, что каждый программист точно знает, как создат ь программный код, исключив все 25 указанных нами ошибок».

Список «25 самых опасных ошибок программного кода»:
CWE-20:Improper Input Validation
CWE-116:Improper Encoding or Escaping of Outpu
CWE-89:Failure to Preserve SQL Query Structure
CWE-79:Failure to Preserve Web Page Structure
CWE-78:Failure to Preserve OS Command Structure
CWE-319:Cleartext Transmission of Sensitive Information
CWE-352:Cross-Site Request Forgery
CWE-362:Race Condition
CWE-209:Error Message Information Leak
CWE-119:Failure to Constrain Operations within the Bounds of a Memory Buffer
CWE-642:External Control of Critical State Data
CWE-73:External Control of File Name or Path
CWE-426:Untrusted Search Path
CWE-94:Failure to Control Generation of Code
CWE-494:Download of Code Without Integrity Check
CWE-404:Improper Resource Shutdown or Release
CWE-665:Improper Initialization
CWE-682:Incorrect Calculation
CWE-285:Improper Access Control
CWE-327:Use of a Broken or Risky Cryptographic Algorithm
CWE-259:Hard-Coded Password
CWE-732:Insecure Permission Assignment for Critical Resource
CWE-330:Use of Insufficiently Random Values
CWE-250:Execution with Unnecessary Privileges
CWE-602:Client-Side Enforcement of Server-Side Security