Veiliger coderen is nu te leren
De drie grootste fouten die beveiligingslekken in de hand werken zijn: het zonder validatie en controle accepteren van gebruikersinput; het structureel mogelijk maken van ‘buffer overflows’; en de gebrekkige afhandeling van ‘integers’, wat het werkgeheugen kan corrumperen. Die programmeerfouten zijn verantwoordelijk voor 85 procent van de kritieke lekken waarover zo vaak wordt bericht.
Onveilig programmeren is dus een ondervangbaar probleem, maar het voorkomen ervan vraagt wel bewustwording van programmeurs van de slordigheidjes die ze zich permitteren en training op het gebied van het stringent toepassen van veilige constructies, meent Sans. Als elk ontwikkelteam een ‘security master’ herbergt, wordt software een stuk veiliger.
De toetsen en examens die nu worden ontwikkeld zijn bedoeld om programmeurs daarbij te helpen. Men werkt momenteel aan testen voor vier programmeeromgevingen: C/C++, Java/J2EE, Perl/PHP en .NET/ASP. De eerste proefexamens moeten in augustus in de Verenigde Staten afgenomen worden. Het is de bedoeling de tests daarna wereldwijd beschikbaar te maken.
Behalve Sans Institute (een onafhankelijk kennis- en trainingscentrum met een eigen waarschuwingsdienst) en Mitre doen onder andere Fortify Software, Juniper, Siemens, Symantec, Tata Group en Tipping Point mee.