IT-Sicherheit: Liste der 25 gefährlichsten Programmierfehler
von , veröffentlicht am 13.01.2009Wie Heise Security meldet, haben Sicherheitsunternehmen und -organisationen unter Federführung von SANS und MITRE nunmehr eine Liste der 25 gefährlichsten Fehler erarbeitet, die zu Security Bugs führen und die der Spionage und kriminellen Aktivitäten im Cyberspace Vorschub leisten. Es handelt sich dabei um weitgehend bekannte Probleme, die aber bislang offensichtlich weder zum Standard in der Ausbildung noch zu den üblichen Testprozessen bei der Softwareentwicklung gehören. 3 Fehlerkategorien wurden herausgearbeitet: "Insecure Interaction Between Components", "Risky Resource Management" und "Porous Defenses". Ziel der Initiative ist es, Software sicherer zu machen, den Programmierern Tools an die Hand zu geben, die den Sicherheitsgrad der von ihnen erstellten Software meßbar machen, Vorgaben für die Ausbildung zur Verfügung zu stellen und Kriterien für die Qualifikation von Programmierern vorzugeben.
Für das deutsche IT-Recht heißt das voraussichtlich (nach einer gewissen "Wirkzeit" der Top-25-Liste):
- Durch die Liste wird ein allgemein zu beachtender Branchenstandard definiert.
- Entsprechende Fehler sind im Regelfall als schwere (und damit z.B. als abnahmeverhinderende) Fehler zu werten.
- Die Nichtbeachtung der Liste durch einen Entwickler wäre im Regelfall als grob fahrlässig zu bewerten.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben