Die 25 schlimmsten Programmierfehler

Ein Projekt hat sich die Mühe gemacht, eine Liste mit den häufigsten und schwerwiegendsten Fehlern in Software zu erarbeiten. Diese Aufstellung alleine sorgt jedoch nicht automatisch für eine bessere Software.

Der Aufstellung und Gewichtung ging jeweils eine umfassende Diskussion mit verschiedenen Experten aus Behörden, Sicherheitsherstellern und Universitätsprofessoren voran. Bei der Einstufung der Gefahren wurde eine besondere Metrik zu Grunde gelegt. Wichtig für die Bewertung war zum einen die Häufigkeit eines Fehlers in verschiedenen Software-Produkten. Und dann haben die Experten natürlich auf die Konsequenzen dieses Fehlers geachtet.

Kritiker sehen in dieser Liste gar eine Anleitung für Hacker, die so eine tolle Übersicht über die verfügbaren Verwundbarkeiten in verschiedenen Software-Produkten bekommen. Ganz anders stufen die Befürworter der Liste diese Aufstellung ein: “Die Top 25 ist in einer einfachen und verständlichen Sprache gehalten. Sie zeigt außerdem, wie sich Fehler vermeiden lassen”, erklärt Carsten Eiram, Chief Security Specialist bei Secunia. Daher empfehle er auch diese Aufstellung als Lektüre für alle, die an der Entwicklung von Software beteiligt sind.

Jeff Williams, CEO von Aspect Security sowie Chairman der OWASP Foundation erklärt: “Gut gemacht, wer die CWE Top 25 ausbügelt, macht nicht nur seine Software sicherer, sondern senkt außerdem die Entwicklungskosten.”

Diese Liste ist also kein Selbstzweck. Nur wer sich mit der Lektüre der Aufstellung einen Überblick verschafft und diese Erkenntnisse in seine Arbeit einfließen lässt, nutzt diese in der richtigen Weise. Außerdem schafft diese Liste eine gemeinsame Sprache, indem sie bestimmte Begriffe definiert und so festlegt, worüber Anwender und Hersteller sprechen.

Die Liste entstand auf der Basis von rund 700 Software-Fehlern, die das gemeinnützige Unternehmen MITRE in den vergangenen drei Jahren analysierte. Die Idee zu dem Projekt CWE stammt ursprünglich von der amerikanischen National Security Agency (NSA).

Bob Martin, der Leiter des CWE-Projektes bei MITRE, erklärte zudem, dass es 2010 wieder eine Liste geben wird. Womöglich mit neuen Fehlern, die heute noch überhaupt nicht bekannt sind.