Podziel się opinią o serwisie

reklama

IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

Biblioteka Wiedzy poleca

Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI

Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »

Raport o internetowych zagrożeniach bezpieczeństwa

"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »

Implementing IBM Systems Director 6.1

Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Producenci powinni odpowiadać za luki w oprogramowaniu?

10 marca 2010

securitystandard
Koalicja specjalistów ds. bezpieczeństwa z ponad 30 organizacji zachęca przedstawicieli firm do umieszczania w umowach z dostawcami oprogramowania klauzul, zobowiązujących twórców aplikacji do korzystania z ogólnie przyjętych zasad tworzenia bezpiecznego kodu.

Inicjatorami pomysłu są organizacje SANS Institute oraz Mitre Corp - ich przedstawiciele tłumaczą, iż wprowadzenie takich wymogów jest obecnie koniecznością i jedną z niewielu metod, która faktycznie może zmusić twórców oprogramowania do zadbania o bezpieczeństwo ich produktów.

Propozycja specjalistów jest prosta - chcą oni, by firmy kupujące aplikacje wymagały od ich twórców udowodnienia, iż kod powstał zgodnie z zasadami tworzenia bezpiecznego kodu. Jeśli później okaże się, że dostawca do takich zasad się nie stosował, to kontrahent będzie mógł żądać od niego odszkodowania. Podstawą do takich roszczeń mógłby być np. skuteczny atak na ową aplikację, przeprowadzony przez błąd, który nigdy nie powinien się w niej pojawić (gdyby była napisana zgodnie z zasadami).

"Prawie wszystkie ataki na oprogramowanie przeprowadzone są z wykorzystaniem prostych błędów programistycznych, które umożliwiają hakerom wprowadzenie złośliwego kodu. Obawiam się, że jedynym sposobem na wyplenienie tych błędów jest umieszczenie w umowach z dostawcami oprogramowania zapisów, w myśl których będą oni odpowiedzialni za straty powstałe w wyniku ataków przeprowadzonych przez takie luki" - komentuje Alan Paller, szef działu badań SANS Institute.

Warto wspomnieć, że specjaliści z SANS i Mitre opublikowali niedawno listę 25 najpoważniejszych błędów programistycznych - z dołączonego do niej raportu wynikało, że to właśnie wymienione w spisie błędy zostały wykorzystane we wszystkich głośniejszych atakach informatycznych ubiegłego roku (dotyczy to również słynnego ataku na Google i kilkadziesiąt innych amerykańskich firm, przeprowadzonego prawdopodobnie przez Chińczyków).

Na pierwszych trzech miejscach listy znalazły się następujące błędy programistyczne: buffer overflow (czyli błąd przepełnienia bufora - zwykle umożliwia nieautoryzowane uruchomienie kodu w systemie), SQL Injection oraz cross-site scripting (te luki umożliwiają umieszczenie w bazie danych lub na stronie WWW złośliwej zawartości).
Wystaw ocenę:
    Średnia ocena (liczba głosów: 0)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

~Gość

  • ocena: brak oceny
  • IP: 85.128.36.194
  • 10-03-2010, 09:45

To będzie dość łatwe i stosunkowo tanie, gdy stosuje się architektury , metodologie i praktyki MS (MS patterns & practices wraz z nowym VS i uzupełnieniami). To będzie niestety niezbyt łatwe i kosztownen gdy stosuje się realnie istniejące rozwiązania open source do tworzenia (a jeszcze gorzej do rozwoju) większych systemów.

~Jery

  • ocena: brak oceny
  • IP: 80.51.145.203
  • 10-03-2010, 09:58

A co to serwis linkow i komentarzy sponsorowanych?