Vulnerability Team

El Departamento de Seguridad Nacional de Estados Unidos (DHS), en colaboración con SANS Institute y Mitre, han desarrollado un sistema actualizado de evaluación que ayuda a las empresas a comprobar si el software que utilizan cumple los necesarios estándares de codificación segura.

El sistema consiste en una lista actualizada de los que DHS, SANS Institute y Mitre consideran los 25 principales errores de programación que pueden encontrarse en el software y en un sistema de medida para que las empresas puedan evaluar la seguridad de su software, basándose en la presencia o ausencia de tales fallos.

El objetivo de este sistema es, según Alan Paller, director de investigación de SANS, ofrecer a las empresas información que les permita tomar decisiones mejor fundadas desde el punto de vista de la seguridad durante el proceso de obtención de su software.

Hasta ahora, según Paller, las organizaciones cuando compraban o desarrollaban servicios Web y software en general, carecían de un medio fiable de comprobar si iban a desplegar tecnología protegida contra ataques comunes.

La lista actualizada de los 25 errores más comunes y peligrosos en la programación de software está basada e incluye muchas de los fallos enumerados en la del año pasado. Pero una diferencia clave es que, en esta ocasión, son los errores de inyección SQL los que encabezan la lista. El año pasado este tipo de fallos ocupaban la segunda posición.

Junto con el sistema de evaluación, DHS, SANS Institute y Mitre han lanzado una serie de sugerencias y directrices sobre cómo los desarrolladores de software pueden reducir las probabilidades de que los errores más frecuentes y peligrosos aparezcan en sus productos.

fuente: csospain.es