Gezielte Ausbildung von Programmierern
Jetzt soll den Fehlern tatsächlich zu Leibe gerückt werden. "Zunächst müssen wir sicherstellen, dass jeder Programmierer weiß, wie er Code frei von den Top-25-Fehlern gestaltet", sagt Brown. Außerdem sollen geeignete Werkzeuge Entwicklern helfen, Probleme zu finden und auszubessern. Kristensen betont dabei den Wert der Top-25-Liste als Arbeitsgrundlage. "Egal, wie groß das Unternehmen ist und wie viele Ressourcen zur Verfügung stehen. Das ist es, wo man als Erstes ansetzen muss." Der Sicherheitsexperte sieht dabei gerade eine entsprechende Ausbildung der Programmierer als Eckpfeiler im Kampf gegen Sicherheitslücken.
Das SANS ist der Ansicht, dass die Liste dazu führen könnte, dass Kunden nach Software verlangen, die als frei von den 25 Fehlern zertifiziert ist. Grundsätzlich hält Kristensen entsprechende Zertifizierungen für eine gute Idee. Allerdings warnt er davor, einer nachträglichen Prüfung zu hohen Stellenwert zu geben. "Kein Audit eines Programms wird je 100-prozentig genau sein", so der Sichrheitsexperte. Softwareunternehmen sollten sich also keinesfalls einfach auf nachträgliche Prüfungen verlassen. "Sicherheit muss bereits Teil des Design- und Entwicklungsprozesses sein", mahnt Kristensen abschließend. (pte)/(bw)