Maak softwarebedrijven verantwoordelijk voor fouten

MITRE en SANS Institute willen met hun initiatief de aandacht verschuiven van de kwetsbaarheden waar alle beveiligingsupdates en beveiligingsrapporten op hameren, naar de onderliggende oorzaken van de onveiligheid. En die zijn in veel gevallen te herleiden op programmeerfouten die software-ontwikkelaars door gebrek aan opleiding of te hoge werkdruk maken.

Redactie AG ConnectMeer van deze auteur

Twee fouten uit de lijst van vorig jaar lagen samen ten grondslag aan het misbruik van 1,5 miljoen websites over het jaar 2008, variërend van het ‘down’-gaan tot diefstal van persoonlijke en financiële informatie van bezoekers. Met de publicatie van een lijst van meest voorkomende programmeerfouten die aanleiding geven tot cybercrime, willen MITRE en SANS Institute het bewustzijn ten aanzien van beveiliging onder programmeurs en klanten verbeteren.

Op de lijst figureren grotendeels dezelfde fouten als vorig jaar. De top-drie bestaat dit jaar uit het nalaten om de structuur van een webpagina te verduurzamen (aanleiding voor cross site scripting-aanvallen); onvoldoende aandacht voor de juiste structuur van speciale elementen in SQL-commando’s (aanleiding voor aanvallen middel SQL Injection); en het kopiëren van buffers zonder de lengte van de invoer te controleren (aanleiding voor de klassieke bufferoverflow-aanval). De volledige lijst met toelichting is te vinden op de site van Mitre. Overigens benadrukken de onderzoekers dat de ernst van fouten mede bepaald wordt door toepassingsomstandigheden. Aan de volgorde op de ranglijst moet dus geen absoluut belang gehecht worden. Mede daarom zijn dit jaar in een bijlage ook 16 fouten vermeld die wel bestudeerd zijn, maar de top-25 niet gehaald hebben.

Aan de publicatie van de top-25 verbinden de organisaties dit jaar het advies aan kopers van software, om van hun leveranciers garanties te vragen ten aanzien van de kwaliteit van de software en de manier waarop die tot stand is gebracht. Het SANS Institute heeft op zijn website een voorbeeldcontract gepubliceerd waarmee men die verantwoordelijkheid van de leverancier kan vastleggen, met daarbij het nadrukkelijke advies om er ook door juristen nog eens naar te laten kijken.

Daarnaast is er een certificatieprogramma opgezet waarmee softwarebedrijven zeker kunnen stellen dat medewerkers aan hun ontwikkelprojecten over voldoende kennis beschikken over de veiligheidsvraagstukken in de tools waarmee en op het platform waarvoor ze ontwikkelen.

'80% van het werk dat we vandaag doen, kan in de komende duizend dagen geautomatiseerd worden'

AI krijgt meer impact op business. In de collegereeks van Nyenrode & AG Connect ontdek je kansen en risico’s, o.a. rond Agentic AI.

2 min

Blog moderne werkplek Partner

Voorbij de standaard: grip op de moderne Microsoft-werkplek

De moderne werkplek is hybride, dynamisch en Microsoft-gebaseerd. Maar is Intune genoeg voor veilig en flexibel beheer?

3 min

Achtergrond soevereiniteit Partner

Soevereine Cloud: Controle in een geopolitiek tijdperk

Begrijp hoe Soevereine Cloud jouw organisatie beschermt tegen geopolitieke risico’s. Lees ons artikel en neem controle over je data.

1 min

Meer whitepapers

Whitepaper Security Partner

De weg ontdekken naar geïntegreerde IT- en fysieke beveiliging afdelingen

De samenvoegingen van IT en fysieke beveiliging begon jaren geleden, maar hoe staat het er nu voor met deze ontwikkeling?

Whitepaper Artificial Intelligence Partner

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Marketing Partner

High impact business stories creëren

De route naar de zakelijke beslisser.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee