Neue Standards für sichere Web-Anwendungen
Eine Expertengruppe will eine Reihe von Dokumenten entwickeln, mit denen die für das Programmieren von sicheren Web-Anwendungen benötigten Voraussetzungen festgelegt werden sollen.
Das erste am Dienstag veröffentlichte Dokument benennt die nach Ansicht des Secure Programming Council benötigten Fähigkeiten, über die ein Programmierer für Java und JavaEE verfügen muss. Damit soll Programmcode frei von Fehlern werden, die Hacker für ihre Angriffe nutzen könnten.
Die Anleitungen verstehen sich als Ergänzung zu entsprechenden Schulungsangeboten für sicheres Programmieren und beinhalten die besten Erfahrungen der Dozenten, so Allan Paller, Forschungsleiter des SANS Institut. Die Anweisungen richten sich einfach nur nach den Industriestandards, sagte Paller.
Die Dokumente des Secure Programming Council wollen diese Lücke zwischen den Standards und den Erfahrungen der Dozenten sowie den Sicherheitsbemühungen unternehmenseigener Programmierer schließen. “Es handelt sich um allgemeines Grundwissen, dass die Programmierer benötigen und um Richtwerte für Arbeitgeber und Lehrende”, ergänzte Paller.
Das erste Dokument für Java kann bereits über das SANS Institut heruntergeladen werden. Weitere Anleitungen sollen für C, C++, und .Net-Programmiersprachen wie PHP und Perl folgen.
Ryan Berg, wissenschaftlicher Leiter bei Ounce Labs und Mitglied des Secure Programming Council, unterstrich die Notwendigkeit der Sicherheitsinitiative. Seiner Ansicht nach habe jede Programmiersprache ihre besonderen Charakteristika und Schwachstellen, die ein Entwickler kenne müsse, um sicheren Code verfassen zu können. “Programmierer müssen die Sprache und ihre Einrichtungen verstehen, um fehlerfreien Code fördern zu können”, sagte Berg.
