Relatório pretende ser um checklist para verificar os erros mais graves que acometem os softwares e servir de critérios para o fechamento d...
Relatório pretende ser um checklist para verificar os erros mais graves que acometem os softwares e servir de critérios para o fechamento de contratos comerciais.
Um fórum formado por mais de 30 organizações ligadas à computação conseguiram fechar um documento consensual sobre as piores coisas que podem acontecer quando os softwares são desenvolvidos.
O grupo é liderado por especialistas da Agência de Segurança Nacional dos Estados Unidos (NSA), pelo Departamento de Segurança Nacional, pelas empresas Microsoft e Symantec.
O Estado de Nova York está criando documentos que podem ser usados por agências governamentais para que os fornecedores se certifiquem de que seus códigos não possuem qualquer um dos erros da lista. Futuramente, o documento pode responsabilizar o fornecedor caso o software tenha algum bug que leve a um problema de segurança, disse Paller.
Traduzimos aqui os títulos das três categorias que dividem os 25 itens. Maiores informações acesse Top 25 Most Dangerous Programming Erros.
CWE-20: Validação de entrada indevida.
CWE-116: Codificação de saída imprópria.
CWE-89: Falha em preservar a estrutura de consulta SQL (também conhecido como 'SQL Injection')
CWE-79: Falha em preservar a estrutura da página Web (também conhecido como 'Cross-site Scripting')
CWE-78: Falha em preservar a estrutura de comando do sistema operacional (também conhecido como 'OS Command Injection')
CWE-319: Transmissão de informações sigilosos em texto claro
CWE-352: Falsa requisição entre sites (Cross-Site Request Forgery - CSRF)
CWE-362: Condição de Corrida (Race Condition)
CWE-209: Vazamento de informações em mensagens de erro
CWE-119: Falha em restringir operações dentro dos limites de um Buffer de Memória
CWE-642: Controle externo de dados de estado crítico
CWE-73: Controle externo de caminho ou nome de arquivo
CWE-426: Caminho de busca não confiável
CWE-94: Falha no controle de geração de código (também conhecido como 'Code Injection')
CWE-494: Download de código sem verificação de integridade
CWE-404: Liberação ou fechamento de recurso indevido.
CWE-665: Inicialização indevida
CWE-682: Cálculo incorreto
CWE-285: Controle de acesso inapropriado (autorização)
CWE-327: Utilização de algoritmo de criptografia quebrado ou arriscado.
CWE-259: Senha escrita no código-fonte (hard-coded)
CWE-732: Cessão de permissão insegura para recursos críticos
CWE-330: Uso de valores insuficientemente randômicos
CWE-250: Execução com privilégios desnecessários
CWE-602: Esforços no lado cliente da aplicação para a segurança do lado servidor
No ano passado, apenas dois dos erros presentes na lista geraram brechas em mais de 1,5 milhão de sites na grande rede, disse o SANS.
Via IDG Now!
Um fórum formado por mais de 30 organizações ligadas à computação conseguiram fechar um documento consensual sobre as piores coisas que podem acontecer quando os softwares são desenvolvidos.
O grupo é liderado por especialistas da Agência de Segurança Nacional dos Estados Unidos (NSA), pelo Departamento de Segurança Nacional, pelas empresas Microsoft e Symantec.
O Estado de Nova York está criando documentos que podem ser usados por agências governamentais para que os fornecedores se certifiquem de que seus códigos não possuem qualquer um dos erros da lista. Futuramente, o documento pode responsabilizar o fornecedor caso o software tenha algum bug que leve a um problema de segurança, disse Paller.
Traduzimos aqui os títulos das três categorias que dividem os 25 itens. Maiores informações acesse Top 25 Most Dangerous Programming Erros.
Categoria: Interação entre componentes insegura
CWE-20: Validação de entrada indevida.
CWE-116: Codificação de saída imprópria.
CWE-89: Falha em preservar a estrutura de consulta SQL (também conhecido como 'SQL Injection')
CWE-79: Falha em preservar a estrutura da página Web (também conhecido como 'Cross-site Scripting')
CWE-78: Falha em preservar a estrutura de comando do sistema operacional (também conhecido como 'OS Command Injection')
CWE-319: Transmissão de informações sigilosos em texto claro
CWE-352: Falsa requisição entre sites (Cross-Site Request Forgery - CSRF)
CWE-362: Condição de Corrida (Race Condition)
CWE-209: Vazamento de informações em mensagens de erro
Categoria: Gerenciamento de recursos arriscados
CWE-119: Falha em restringir operações dentro dos limites de um Buffer de Memória
CWE-642: Controle externo de dados de estado crítico
CWE-73: Controle externo de caminho ou nome de arquivo
CWE-426: Caminho de busca não confiável
CWE-94: Falha no controle de geração de código (também conhecido como 'Code Injection')
CWE-494: Download de código sem verificação de integridade
CWE-404: Liberação ou fechamento de recurso indevido.
CWE-665: Inicialização indevida
CWE-682: Cálculo incorreto
Categoria: Defesas permissivas
CWE-285: Controle de acesso inapropriado (autorização)
CWE-327: Utilização de algoritmo de criptografia quebrado ou arriscado.
CWE-259: Senha escrita no código-fonte (hard-coded)
CWE-732: Cessão de permissão insegura para recursos críticos
CWE-330: Uso de valores insuficientemente randômicos
CWE-250: Execução com privilégios desnecessários
CWE-602: Esforços no lado cliente da aplicação para a segurança do lado servidor
No ano passado, apenas dois dos erros presentes na lista geraram brechas em mais de 1,5 milhão de sites na grande rede, disse o SANS.
Via IDG Now!
Comentários