Het project, dat vanaf vandaag in ieder geval de komende drie maanden gaat lopen, moet vooral als leidraad gaan gelden voor kleine- en middelgrote bedrijven. De lijst wordt gecoördineerd en bijgehouden door het SANS-instituut, een Amerikaanse ict-beveilgingsopleider, en Mitre Corporation, een onderzoeksstichting. Naast de eerder genoemde bedrijven hebben ook experts van onder andere Oracle, Red Hat en Apple aan het project deelgenomen, terwijl de Homeland Security Department van de Amerikaanse regering het project financieel heeft gesteund.

De lijst is onderverdeeld in drie categorieën: Insecure Interaction between Components (onveilige samenwerking tussen verschillende componenten), Risky Resource Management (riskant gebruik van hulpbronnen), en Porous Defences (gaten). Voor elk van de categorieën zijn respectievelijk negen, negen en zeven fouten opgenoemd die dikwijls gemaakt worden.

Zo is volgens de opstellers van de lijst bij de samenwerking tussen componenten het grootste probleem dat de invoer van data niet goed gecontroleerd wordt. De alarmbellen moeten gaan rinkelen als er bijvoorbeeld letters kunnen worden ingevoerd, waar alleen cijfers horen te staan. Maar ook de bekende mogelijkheid tot SQL-injectie staat in dit sublijstje. Overschrijding van het geheugenbuffer is het nummer 1 gevaar van fouten in het gebruik van hulpbronnen, terwijl zwakke authorisatie de grootste boosdoener is bij de derde categorie van fouten in de verdedigingsmuur.

Applicatiebeveiliging is al tijden een probleemgeval voor bedrijven, vooral omdat het in de ontwikkeling en uiteindelijke uitrol tussen wal en schip valt. Naast dat deze lijst voor ontwikkelaars een geheugensteuntje is, moet de lijst ook voor de afnemers van applicaties een bruikbare gids vormen om problemen te voorkomen. Bron: Techworld