Norte-americanos criam lista com os 25 piores erros de programação

Um grupo formado por mais de 30 organizações de computação publicou nesta segunda-feira (12/01), uma lista com os 25 erros de programação de software mais perigosos para a segurança dos sistemas.

Esta é a primeira vez que a indústria de software chega a um consenso sobre as piores coisas que podem acontecer quando ops softwares são criados.

O grupo é liderado por especialistas da Agência de Segurança Nacional dos Estados Unidos (NSA na sigla em inglês), pelo Departamento de Segurança Nacional, pelas empresas Microsoft e Symantec.

“A lista com o top 25 fornece aos desenvolvedores um conjunto mínimo de erros de código que devem ser erradicados antes que o software seja usado pelos clientes” disse Chris Wysopal, Chief Technology Officer (CTO) da Veracode, em um comunicado.

mais do que uma lista, o documeto pode ser usado como ferramenta de negociação entre compradores e vendedores de software, apontou Alan Paller, diretor de pesquisas do SANS Institute.

O Estado de Nova York está criando documentos que podem ser usados por agências governamentais para que os fornecedores se certifiquem de que seus códigos não possuem qualquer um dos erros da lista. Futuramente, o documento pode responsabilizar o fornecedor caso o software tenha algum bug que leve a um problema de segurança, disse Paller.

A lista de falhas inclui bugs que permitem SQL injection ou ataques de cross-site scripting, envio de informações sensíveis em textos legíveis, e senhas de segurança de difícil detecção em programas.

ENo ano passado, apenas dois os bugs presentes na lista geraram brechas em mais de 1,5 milhão de sites na grande rede, disse o SANS.