Rund 30 Organisationen für Computersicherheit haben gemeinsam eine Liste der 25 gefährlichsten Programmierfehler veröffentlicht. Die Top 25 sollen das Bewusstsein für Security bei Software-Entwicklern schärfen.
Unter den Teilnehmern befinden sich Microsoft, Apple und Oracle, amerikanische Hochschulen, die japanische IT-Förderung IPA, Security-Firmen wie RSA und Symantec, einzelne Berater sowie das Open Web Application Security Project (OWASP). Der Anstoß für die Zusammenstellung kam vom US-Geheimdienst NSA, finanzielle Unterstützung vom Department of Homeland Security. Mit der Projektkoordination waren die Security-Organisationen MITRE und SANS betraut.
Die 25 Fehler, auf die sich die Fachleute geeinigt haben, sind in drei Kategorien eingeteilt: Unsichere Interaktion zwischen Komponenten, riskantes Ressourcen-Management und mangelhafte Sicherheitsmaßnahmen.
Unter die erste Abteilung fallen beispielsweise ungenügende Input-Validierung, unzureichendes Kodieren/Maskieren von Eingaben sowie SQL-, Skript- und Kommando-Ausdrücke, die anfällig für Code-Injection sind.
Zu den fatalen Fehlern im Ressourcen-Management gehören Dateipfade, die sich von außerhalb des Programms verändern lassen und Suchpfade, die nicht vertrauenswrdige Verzeichnisse mit einschließen. Zur Laufzeit generierter Code kann für die Einschleusung von Angriffscode anfällig sein, aus dem Netz ohne Integritätsprüfung nachgeladener Programmcode stellt ein weiteres Risiko dar.
Die dritte Kategorie behandelt Verfahren, die eigentlich als Abwehrmaßnahmen gegen Angriffe dienen. Bei mangelhafter Umsetzung stellen sie jedoch selbst ein Sicherheitsrisiko dar. Das gilt beispielsweise für unzureichende Zugriffskontrolle, geknackte Kryptografie-Verfahren, Ausführung mit zu hoher Berechtigung und hart-codierte Passwörter.
Die vollständigen Listen sowie weitere Informationen finden sich auf eigenen Seiten sowohl bei MITRE als auch bei SANS.
Von der Liste sollen nach Vorstellung der Macher in Zukunft sowohl Programmierer als auch deren Kunden profitieren: Die Entwickler können die Top 25 in Ihren Tests abklopfen, die Auftraggeber sollen in Verträgen die Abwesenheit solcher Fehler verlangen. Zudem soll die Zusammenstellung in die Ausbildungspläne von Programmierern und Informatikstudenten einfließen.
