A SANS Institute kutatóközpont, karöltve olyan szervezetekkel és vállalatokkal, mint az Amerikai Nemzetbiztonsági Hivatal, a Amerikai Belbiztonsági Minisztérium, a Microsoft vagy a Symantec, egy tanulmányában 25 olyan programozói hibát publikált, amelyeken keresztül komoly biztonsági rések nyílhatnak meg a kiberbűnözők előtt. A kutatók szerint azért volt szükség a dolgozat elkészítésére, mert a szoftverek fejlesztői a kódok írásakor nem ismerik fel megfelelően az általuk vétett hibákat. A listán szerepel két olyan baki is, amelynek köszönhetően csak a tavalyi évben mintegy másfél millió weboldalt törtek fel.
Az IT-iparágban egyébként most először született konszenzus a legveszélyesebb programozói ballépésekről. Eddig általában a programozási hibákra visszavezethető sebezhetőségek kezelésével kapcsolatban jelentek meg tanácsok, megoldási javaslatok, az új „top 25-ös lista” ellenben magukra a hibákra és azok javítására fókuszál.
A dolgozatot készítő szervezetek munkatársai külön hangsúlyozták: a lista azokat az alapvető programozási bakikat tartalmazza, amelyeket egyszerűen ki kell irtani a szoftverekből, mielőtt azok a felhasználókhoz kerülnének. „Biztosnak kell lennünk abban, hogy minden szoftverfejlesztő tudja, miként kell a 25 legnagyobb biztonsági kockázatot jelentő hibáktól mentes kódot írnia. Aztán azt kell elérnünk, hogy a fejlesztők bevezessék azokat az eljárásokat, amelyekkel megtalálhatók és kijavíthatók ezek a bakik a már megírt kódban, és meglegyenek az eszközeik, amelyekkel verifikálni tudják, hogy a programjuk mentes e hibáktól” – nyilatkozta a célokról Mason Brown, a SANS igazgatója.
„A lista elsődlegesen azoknak készült, akik felelősek a rendszerek megtervezéséért. A veterán programozók már bizonyára tanultak a saját hibáikból, míg kezdő kollégáik több alapvető baklövést is elkövethetnek” – vetette fel Patrick Lincoln, az SRI International számítástechnikai laboratóriumának vezetője. Szerinte a hackerek többsége elrettenthető, ha a szoftverfejlesztők alaposan kipucolják a kódjaikat. „Egy igazán elkötelezett, profi támadó nagy valószínűség szerint akkor is képes lesz betörni, ha mind a 25 hibaforrást elhárítjuk. Egy pusztán rosszindulatú kispályást viszont jó eséllyel elriasztunk így” – tette hozzá.
