SANS möchte Standards für sichere Software-Programmierung schaffen

26. November 2007, 10:25
  • technologien
  • java
  • security
image

Das renommierte SANS Institute (SysAdmin, Audit, Network, Security) hat Initiativen des Secure Programming Council (SPC) für Web-Sicherheit bekannt gegeben.

Das renommierte SANS Institute (SysAdmin, Audit, Network, Security) hat Initiativen des Secure Programming Council (SPC) für Web-Sicherheit bekannt gegeben. Das US-Institut plant Standards auszuarbeiten, nach denen die Kenntnisse von Software-Entwicklern zu sicherem Programmieren speziell für Web-Anwendungen getestet werden können. Insgesamt sollen sechs entsprechende Richtlinien eingeführt werden. Ein Entwurf zu sicherer Programmierung unter Java und JavaEE, beziehungsweise zu den Kenntnissen, welche Programmierer dafür haben sollten, wurde bereits vorgestellt. Vergleichbare Richtlinien für sichere Programmierung in C, C++, .Net, PHP und Perl sollen folgen.
Als erstes hat das Secure Programming Council einen Entwurf zu den "Essential Skills for Secure Programmers Using Java/JavaEE" vorgestellt. Das entsprechende Dokument wurde auf der Website des SANS Software Security Institute veröffentlicht. Zu wichtigen Fähigkeiten zählen demnach unter anderem Validierungs-Techniken im Bereich Datenverarbeitung, Kenntnisse über Zugriffskontrolle und ein Verständnis, wann und wie Datenverschlüsselung eingesetzt werden muss.
Der Entwurf ist für Kommentare freigegeben. Bis zum 1. Dezember eingehende Vorschläge sollen in der nächsten Version passend berücksichtigt werden, um die Standards so weiter zu verbessern.
Zur Überprüfung der definierten, essenziellen Fähigkeiten von Programmierungen hat das Secure Programming Council laut Essential-Skills-Dokument bereits Tests entworfen. Unter Aufsicht des SANS Institute werden entsprechende GIAC-Secure-Software-Programmer-Prüfungen noch in diesem Jahr, am 5. Dezember in London und am 12. Dezember in Washington D.C., abgehalten. Zu diesen Terminen wurden vom SANS Institute neben den Java/JavaEE-Prüfungen auch schon entsprechende C-Prüfungen angekündigt.
"Ein Großteil der Sicherheitslücken in Web-Anwendungen ist unserer Erfahrung nach auf die Entwickler zurückzuführen", meint Franz Wagner, Senior Sales Engineer bei der Internet Security AG im 'pressetext'-Gespräch. Er will die SPC-Initiativen nicht direkt kommentieren, meint aber: "Entsprechende Wissensstandards zu definieren und zu testen, ist sicher ein Anfang, um die Situation zu verbessern." Skeptischer gibt sich Robert Kaiser, Entwickler beim SeaMonkey-Projekt: "Ob ein Programmierer über mögliche Sicherheitsprobleme seines Codes Bescheid weiß, hat fast keinen Einfluss darauf, ob er dann solche Probleme auch vermeidet", so Kaiser gegenüber 'pressetext'.
Am Secure Programming Council sind über 40 Organisationen beteiligt, darunter Booz Allen Hamilton, Ounce Labs, Deloitte and Touche, Kaiser Permanente, Firsthand Technologies, OWASP, Morgan Stanley, Tata Consulting, Neohapsis, Watchfire, Fortify, Amazon und Stach & Liu. (pte)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Google will "gehärtete" Open-Source-Software vertreiben

Der Cloudriese scheint von der Sorge vieler Unternehmen über die Sicherheit ihrer Software-Lieferkette profitieren zu wollen.

publiziert am 18.5.2022
image

Der Bundesrat macht das NCSC zum Bundesamt

Bis Ende Jahr soll klar sein, wie das Bundesamt für Cybersicherheit ausgestaltet und in welchem Departement es angesiedelt sein soll.

publiziert am 18.5.2022
image

Mobiliar und Militär kooperieren in Sachen Cybersecurity

Die Armee möchte auch weitere Privatunternehmen als Partner gewinnen.

publiziert am 18.5.2022