没有人愿意使用缺陷缠身,不安全的软件。但通常情况下,除非您的供应商是使用安全开发方法(很多时候甚至当时)你的公司越来越恰恰如此。
周一,随着国土安全部SANS研究所和米特雷将释放其编码的网站漏洞前25的最新名单。在过去,这份名单感兴趣的主要是安全意识的开发人员希望IT一定要避免编程错误。但今年,这些组织还计划宣布的方式优先使用软件漏洞评分系统和风险评估使用不同行业的框架。
名曰共同的弱点评估系统(CWSS)和共同的弱点风险分析框架(CWRAF) ,这两个方案-无论是由政府牵头承办,米特提供了一个衡量软件质量和安全的方式,可以极大地影响开发商的方式建立软件。而是在安全上的成本功能为重点,开发人员可能会发现自己举行一个合同,为他们交付的任务尤其是得分。
“这是从约安全转向做一些关于它的东西,”SANS研究所研究总监Alan Paller说,该组织就资讯科技教育的重点。
同样在周一,SANS学院计划推出前25名的Web漏洞年度名单的三分之一。在网站的最显着的缺陷是SQL注入漏洞,凡在一个网站输入验证漏洞允许游客发出命令到数据库,运行整个家当。据称,这种缺陷允许的LulzSec组网络破坏者违反通过索尼电影公司网站提供几个在线服务。
帕勒承认,该清单是没有任何一个企业的方法来衡量自己的程序员和承包商是否遵守的准则。强制要求供应商使用微软的安全开发生命周期或Adobe的安全产品生命周期的手段很少,如不符合安全。该评分系统和风险分析框架将帮助企业确保他们的网络软件供应商是最令人震惊的错误负责。
在SANS研究所,MITRE和美国国土安全部将在周一下午公布方案。