Los 25 errores de programación más peligrosos

programer_developer

Grupo internacional de expertos ha publicado una lista con los 25 errores de programación con mayor potencial de daño.

La mayor parte de los agujeros de seguridad en programas informáticos se debe a errores de programación, que podrían ser evitados si los programadores fueran más cautelosos con su trabajo.
Ante tal situación, un grupo internacional de expertos ha elaborado una lista con los 25 peores errores de programación que ocasionan vulnerabilidades. El grupo incluye, entre otros, al ministerio de seguridad interior de EEUU y NSA, la organización japonesa IPA y empresas privadas como Microsoft y Symantec.
La mayoría de los 25 errores de la lista son relativamente desconocidos entre los propios programadores. No forman parte de los estudios de los desarrolladores, y un mínimo de los fabricantes de software no prueban sus productos en busca de errores antes de lanzarlos comercialmente.
Las consecuencias pueden ser nefastas. Por ejemplo, dos de tales errores fueron explotados en 2008 para instalar código maligno en 1,5 millones de sitios web, que luego propagaron malware entre sus visitantes.
Aunque ya existen listas con las vulnerabilidades y agujeros de seguridad más graves y conocidos, la nueva lista se concentra en los errores de programación en los que tienen su origen.
El grupo de expertos confía en que la lista sea usada por compradores de software, educadores, programadores y sus empleadores.

Personas y Organizaciones que contribuyeron en el informe

Robert C. Seacord, CERT
Pascal Meunier, CERIAS, Purdue University
Matt Bishop, University of California, Davis
Kenneth van Wyk, KRvW Associates
Masato Terada, Information-Technology Promotion Agency (IPA), (Japan)
Sean Barnum, Cigital, Inc.
Mahesh Saptarshi and Cassio Goldschmidt, Symantec Corporation
Adam Hahn, MITRE
Jeff Williams, Aspect Security
Carsten Eiram, Secunia
Josh Drake, iDefense Labs at VeriSign, Inc.
Chuck Willis, MANDIANT
Michael Howard, Microsoft
Bruce Lowenthal, Oracle Corporation
Mark J. Cox, Red Hat Inc.
Jacob West, Fortify Software
Djenana Campara, Hatha Systems
James Walden, Northern Kentucky University
Frank Kim, ThinkSec
Chris Eng and Chris Wysopal, Veracode, Inc.
Ryan Barnett, Breach Security
Antonio Fontes, New Access SA, (Switzerland)
Mark Fioravanti II, Missing Link Security Inc.
Ketan Vyas, Tata Consultancy Services (TCS)
Lindsey Cheng, Ian Peters and Tom Burgess, Secured Sciences Group, LLC
Hardik Parekh and Matthew Coles, RSA - Security Division of EMC Corporation
Mouse
Ivan Ristic
Apple Product Security
Software Assurance Forum for Excellence in Code (SAFECode)
Core Security Technologies Inc.
Depository Trust & Clearing Corporation (DTCC)
The working group at the first OWASP ESAPI Summit
National Security Agency (NSA) Information Assurance Division
Department of Homeland Security (DHS) National Cyber Security Division





http://www.diarioti.com
Publicar un comentario

Entradas populares de este blog

Java - Ejemplo de como consumir un Web Service

Java - Ejemplo de como crear un Web Service

Java: Primera aplicación web con Eclipse