Podziel się opinią o serwisie
popularne komentowane nowości

popularne

Najczęściej czytane

więcej...

Biblioteka Wiedzy poleca

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

System Epicor ERP z certyfikatem TEC

Przeczytaj (po polsku) pełny raport Technology Evaluation Centers z certyfikacji systemu Epicor ERP i poznaj niezależną opinię jednej z najbardziej...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Producenci powinni odpowiadać za luki w oprogramowaniu?

10 marca 2010

securitystandard
Koalicja specjalistów ds. bezpieczeństwa z ponad 30 organizacji zachęca przedstawicieli firm do umieszczania w umowach z dostawcami oprogramowania klauzul, zobowiązujących twórców aplikacji do korzystania z ogólnie przyjętych zasad tworzenia bezpiecznego kodu.

Inicjatorami pomysłu są organizacje SANS Institute oraz Mitre Corp - ich przedstawiciele tłumaczą, iż wprowadzenie takich wymogów jest obecnie koniecznością i jedną z niewielu metod, która faktycznie może zmusić twórców oprogramowania do zadbania o bezpieczeństwo ich produktów.

Propozycja specjalistów jest prosta - chcą oni, by firmy kupujące aplikacje wymagały od ich twórców udowodnienia, iż kod powstał zgodnie z zasadami tworzenia bezpiecznego kodu. Jeśli później okaże się, że dostawca do takich zasad się nie stosował, to kontrahent będzie mógł żądać od niego odszkodowania. Podstawą do takich roszczeń mógłby być np. skuteczny atak na ową aplikację, przeprowadzony przez błąd, który nigdy nie powinien się w niej pojawić (gdyby była napisana zgodnie z zasadami).

"Prawie wszystkie ataki na oprogramowanie przeprowadzone są z wykorzystaniem prostych błędów programistycznych, które umożliwiają hakerom wprowadzenie złośliwego kodu. Obawiam się, że jedynym sposobem na wyplenienie tych błędów jest umieszczenie w umowach z dostawcami oprogramowania zapisów, w myśl których będą oni odpowiedzialni za straty powstałe w wyniku ataków przeprowadzonych przez takie luki" - komentuje Alan Paller, szef działu badań SANS Institute.

Warto wspomnieć, że specjaliści z SANS i Mitre opublikowali niedawno listę 25 najpoważniejszych błędów programistycznych - z dołączonego do niej raportu wynikało, że to właśnie wymienione w spisie błędy zostały wykorzystane we wszystkich głośniejszych atakach informatycznych ubiegłego roku (dotyczy to również słynnego ataku na Google i kilkadziesiąt innych amerykańskich firm, przeprowadzonego prawdopodobnie przez Chińczyków).

Na pierwszych trzech miejscach listy znalazły się następujące błędy programistyczne: buffer overflow (czyli błąd przepełnienia bufora - zwykle umożliwia nieautoryzowane uruchomienie kodu w systemie), SQL Injection oraz cross-site scripting (te luki umożliwiają umieszczenie w bazie danych lub na stronie WWW złośliwej zawartości).
Wystaw ocenę:
    Średnia ocena (liczba głosów: 0)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

~Gość

  • ocena: brak oceny
  • IP: 85.128.36.194
  • 10-03-2010, 09:45

To będzie dość łatwe i stosunkowo tanie, gdy stosuje się architektury , metodologie i praktyki MS (MS patterns & practices wraz z nowym VS i uzupełnieniami). To będzie niestety niezbyt łatwe i kosztownen gdy stosuje się realnie istniejące rozwiązania open source do tworzenia (a jeszcze gorzej do rozwoju) większych systemów.

~Jery

  • ocena: brak oceny
  • IP: 80.51.145.203
  • 10-03-2010, 09:58

A co to serwis linkow i komentarzy sponsorowanych?