SANS Institute publica lista de los 25 errores de programación más peligrosos

La mayor parte de los agujeros de seguridad en programas informáticos se debe a errores de programación, que podrían ser evitados si los programadores fueran más cautelosos con su trabajo.

Ante tal situación, un grupo internacional de expertos ha elaborado una lista con los 25 peores errores de programación que ocasionan vulnerabilidades. El grupo incluye, entre otros, al ministerio de seguridad interior de EEUU y NSA, la organización japonesa IPA y empresas privadas como Microsoft y Symantec.

La mayoría de los 25 errores de la lista son relativamente pasados por alto entre los propios programadores. No forman parte de los estudios de los desarrolladores, y un porcentaje de los fabricantes de software no prueban sus productos en busca de errores antes de lanzarlos comercialmente.

Las consecuencias pueden ser nefastas. Por ejemplo, dos de tales errores fueron explotados en 2008 para instalar código maligno en 1,5 millones de sitios web, que luego propagaron malware entre sus visitantes.

Aunque ya existen listas con las vulnerabilidades y agujeros de seguridad más graves y conocidos, la nueva lista se concentra en los errores de programación en los que tienen su origen.

El grupo de expertos confía en que la lista sea usada por compradores de software, educadores, programadores y sus empleadores.

Y también presentan la lista de recomendaciones para mitigar y evitar estos problemas. Un verdadero curso de seguridad informática que considero un MUST para todo programador que quiera integrar la Seguridad en sus trabajos.

Links:

CWE/SANS TOP 25 Most Dangerous Software Errors

CWE/SANS Top 25: Monster Mitigations