Список рекомендаций содержит 25 самых опасных ошибок программирования, обнаруженных исследованием. «Компании и некоммерческие организации, которые нуждаются в приобретении, либо создании собственных веб-сервисов и корпоративного программного обеспечения, до сих пор не имели четких критериев, по которым можно было бы определить, насколько их ресурсы защищены от вредоносных атак», — заявил директор по исследованиям SANS Алан Паллер (Alan Paller).
Отрицательный рейтинг наиболее распространенных ошибок программирования открывается неверной нейтрализацией особых элементов SQL-команд. По сравнению с прошлогодним исследованием консорциума, этот вид ошибок поднялся со второй ступени на первую, став наиболее распространенным. Вторая, наиболее распространенная ошибка – неверная блокировка обращенных к ОС команд, отданных через веб-интерфейс. Третья наиболее распространенная ошибка – отсутствие контроля переполнения буфера обмена.
По мнению сторонних экспертов, предлагаемый список действительно способен предотвратить большинство проблем, которые так часто возникали в последнее время и у частных компаний, и у государственных органов. «Это предупреждение – хороший способ обратить внимание на самые уязвимые точки корпоративных IT-систем», — считает аналитик Gartner Джон Пескаторе (John Pescatore). «Общие стандарты проверки на уязвимость сетей создают единую систему защиты в одной экосистеме», — считает он.
Илья Никонов
Департамент Внутренней Безопасности США рекомендует компаниям стандарты оценки безопасности ПО: 2 комментария