Het project, dat in ieder geval de komende drie maanden gaat lopen, moet vooral als leidraad gelden voor kleine- en middelgrote bedrijven. De lijst wordt gecoördineerd en bijgehouden door het SANS-instituut, een Amerikaanse ict-beveilgingsopleider, en Mitre Corporation, een onderzoeksstichting.

Grote namen

Naast de eerder genoemde bedrijven hebben ook experts van onder andere Oracle, Red Hat en Apple aan het project deelgenomen, terwijl de Homeland Security Department van de Amerikaanse regering het project financieel heeft gesteund.

De lijst is onderverdeeld in drie categorieën: Insecure Interaction between Components (onveilige samenwerking tussen verschillende componenten), Risky Resource Management (riskant gebruik van hulpbronnen), en Porous Defences (gaten). Voor elk van de categorieën zijn respectievelijk negen, negen en zeven fouten opgenoemd die dikwijls gemaakt worden.

Drie gevaarlijkste fouten

Zo is volgens de opstellers van de lijst bij de samenwerking tussen componenten het grootste probleem dat de invoer van data niet goed gecontroleerd wordt. De alarmbellen moeten gaan rinkelen als er bijvoorbeeld letters kunnen worden ingevoerd, waar alleen cijfers horen te staan. Maar ook de bekende mogelijkheid tot SQL-injectie staat in dit sublijstje. Overschrijding van het geheugenbuffer is het nummer 1 gevaar van fouten in het gebruik van hulpbronnen, terwijl zwakke authorisatie de grootste boosdoener is bij de derde categorie van fouten in de verdedigingsmuur.

Applicatiebeveiliging is al tijden een probleemgeval voor bedrijven, vooral omdat het in de ontwikkeling en uiteindelijke uitrol tussen wal en schip valt. Naast dat deze lijst voor ontwikkelaars een geheugensteuntje is, moet de lijst ook voor de afnemers van applicaties een bruikbare gids vormen om problemen te voorkomen.

Bron: Techworld.nl