TOP 25 CWE/SANS - Problemas de Segurança em Programação (Prós e Contras)

Programar é uma tarefa relativamente simples, mas desenvolver produtos complexos de forma segura e garantir que sua implementação/configuração não irá incluir riscos associados tem se mostrado uma tarefa dificílima de se conseguir. Não é a toa que recentemente o tema de Segurança em Desenvolvimento tem crescido fortemente dentro da comunidade de Segurança da Informação.

Recentemente, o CWE e o SANS Institute divulgaram uma lista dos 25 erros piores erros de programação do ponto de vista da segurança.

A iniciativa não é nova (vide OWASP Top 10, 19 Sins book, e as específicas de linguagens como Java, C, Perl, PHP, ...) , mas claro que é bastante válida - desde que usada com critério.

Algumas críticas interessantes (obrigado, Lucas) foram colocadas por alguns especialistas na área de desenvolvimento seguro, como Gary McGraw - que compilou uma interessante lista de 11 principais motivos do porque listas de "top 10" (ou 25) devem ser avaliadas com cautela.

Alguns pontos interessantes da crítica de McCgraw (tradução livre):

• 1 - Executivos não dão a mínima para erros técnicos
• 3 - Listas de Vulnerabilidades ajudam mais aos auditores do que aos desenvolvedores
• 6 - Listas de erros se modificam de acordo com a mudança da tecnologia
• 9 - Métricas construídas sobre listas "Top N" são enganadoras.

16/01/2009 Update - a OWASP acusa o SANS Institute de plágio.