Sårbarheter i programvare kan ofte skyldes manglende kunnskaper om hvordan sikker programvare kan lages. Dette er noe av bakgrunnen for at Sans Institute denne uken la fram den første av flere standarder for hvordan programvareutviklere skal kunne demonstrere at de har de nødvendige kunnskapene.
Det første av i alt seks standardinitiativer er tilgjengelig her. Dokumentet inneholder en rekke punkter som beskriver kunnskaper Java/JaveEE-utviklere bør ha. Dette inkluderer håndtering av innkommende og utgående data, slik at blant annet XSS-angrep (Cross-site Scripting) og SQL-injeksjon kan unngås, autentisering og håndtering av arbeidsøkter, tilgangskontroll, hvilken konsekvens innebygde datatyper og Java-spesifikk minnehåndtering har for sikkerheten, unntakshåndtering og bruk av kryptering.
Senere vil Secure Programming Council ved Sans Institute utgi lignende standarder for testing av utviklere som benytter C, C++, PHP, Perl og .Net-språk. Disse vil bli tilgjengelige på denne siden, sammen med annen relatert informasjon.
Standardene skal, sammen med standardiserte tester over de kunnskapene som dekkes i standardene, kunne gjøre det mulig for arbeidsgivere å sikre at deres utviklere har den nødvendige kunnskapen til å gjenkjenne feil i sin egen eller andre utvikleres kode, samt å kunne skive kode som unngår de mest utbredte feilene.
Enda viktigere er det at selskaper, som får utviklet programvare eksternt, kan måle hvor forberedt det eksterne utviklingsselskapet er på å skrive sikker programvare. Ifølge Sans Institute er det mange tegn på at angripere nå i større grad retter angrepene mot virksomhetstilpasset programvare for å oppnå tilgang til selskaper og offentlige byråer.
Sans Institute skal administrere testene. Den første vil finne sted i London allerede den 5. desember. De neste åtte månedene vil tester bli arrangert i ulike byer i USA og Europa.
