Eksperter lister 25 alvorligste softwarefejl

Artiklen blev oprindeligt publiceret den 13/1/2009

Sikkerhedseksperter har samlet de 25 alvorligste sikkerhedsfejl i software sammen med råd om, hvordan man kan undgå dem.

SANS Institute har offentliggjort listen, som er udviklet af eksperter fra mere end 30 offentlige og private institutioner og virksomheder. Listen bygger blandt andet på data fra projektet Common Weakness Enumeration (CWE), som rummer over 700 softwarefejl.

Godt halvdelen af de 25 fejl findes i web-applikationer. Blot to af fejlene medførte 1,5 millioner brud på sikkerheden på websteder i 2008.

De 25 fejl er opdelt i tre kategorier:

• Usikker interaktion mellem komponenter (fx SQL-indsætning)
• Risikabel håndtering af ressourcer (fx bufferoverløb)
• Mangelfulde forsvarsmekanismer (fx svage passwords)

Nummer et på listen er mangelfuld input-validering. Det handler fx om, at et felt, der er beregnet til tal, aldrig må acceptere, at brugeren indtaster andet end tal i det.

Hver fejl på listen har et link til CWE-databasen. Her er der råd om, hvordan programmører kan undgå at begå fejlen.

Links

• Pressemeddelelse fra SANS Institute
• CWE-databasens liste over de 25 fejl