Um grupo de especialistas em programação do Secure Programming Council (conselho de programação segura) vai lançar uma série de documentos que indicam quais sãoas habilidades necessárias que um programador de linguagem Java precisa ter para criar aplicações web que suportam melhor ataques de criminosos.
O primeiro guia divulgado aponta as capacidades essenciais que os programadores devem ter ao escrever em Java e JavaEE, para garantir que o código esteja livre de falhas passíveis de exploração.
Ainda que as faculdades ofereçam cursos sobre codificação segura, os currículos são baseados apenas nos esforços dos instrutores, disse Alan Paller, diretor de pesquisa do instituto SANS, organização de treino e pesquisa em segurança.Ele afirma que eles não encontram padrões de mercado para basear o treinamento.
Os documentos do Secure Programming Council pretende resolver essa situação ao combinar os textos existentes sobre o tema e dicas dos profissionais de codificação segura, assim como empresas que estão trabalhando com o tema dentro de suas casas, garante Paller. “É um material comum do que as pessoas precisam saber, benchmark para empregados e professores”, afirma.
O conselho está lançando agora o material Habilidades essenciais para programadores seguros usando Java/ JavaEE” (material completo em inglês e em PDF) e planeja seguir para outras linguagens como C, C++, e .Net, assim como Perl e PHP. O material em Java está disponível para comentários do público até o dia primeiro de dezembro pelo e-mail spa@sans.org.
Mas a programação segura é apenas parte do pacote em busca de proteção. Paller aponta que é preciso somar ao treinamento certas ferramentas que permitam escrever códigos seguros e que testem automaticamente o código em busca de vulnerabilidades.
O documento sobre Java e JavaEE abrange sete áreas de codificação: forma de lidar com dados, gestão de autenticação e de sessão; controle de accesso, Java types e gestão da virtual machine; registro e falhas na aplicação, serviços de criptografia e princípios de arquitetura segura e de codificação.