2009 haben sich IT-Sicherheitsunternehmen zusammengetan, um eine Liste der 25 gefährlichsten Programmierfehler zu erstellen. Die Liste soll Programmierern helfen, Code fehlerfrei zu schreiben und Gefahrenquellen sowie Schwachstellen aufzeigen, die von Hackern und Computerkriminellen ausgenützt werden könnten. Zum Jahresanfang 2010 ist nun eine aktualisierte Version der Liste herausgegeben worden.

Umfangreich

Wie gehabt, wird die Liste in drei Kategorien unterteilt. Die erste Sparte umfasst häufige Fehler beim Datenaustausch zwischen Systemen, der zweite Bereich beschreibt Schwachstellen, die beim falschen Umgang mit wichtigen Ressourcen auftreten können und die dritte Kategorie zeigt Fehler im Umgang mit dem Systemspeicher auf. Eine Übersicht zu den einzelnen Fehlern haben die Autoren online veröffentlicht. Einige der bislang 800 untergeordneten Schwachstellen wurden mittlerweile in die Top 25 aufgenommen, während die Autoren einige der bisher schwerwiegenden Fehler herunterpriorisierten.

Effizienter

Um Programmierern die Informationsfindung zu erleichtern, wurde die Liste umstrukturiert und damit genauer zwischen Programmier-Leitfäden zur Schadensbegrenzung und konkreteren Sicherheitslücken getrennt. Eine weitere Hilfestellung bieten die neuen "Focus Profiles", die es den Programmierern ermöglichen, für sie relevante Bereiche der Liste heraus zu picken.    

Hinter den Autoren der Liste stehen 30 international agierende Unternehmen, unter anderem die Sicherheitsspezialisten Symantec und McAfee, sowie die Softwarekonzerne Microsoft und Oracle und Organisationen wie das Open Web Application Security Project.

(zw)