SANS entwirft Liste mit den wichtigsten Sicherheitsregeln für Java-Programmierer |
Samstag, den 17. November 2007 um 17:31 Uhr |
Viele Analysten sind der Ansicht das Sicherheitslücken in Webapplikationen zu den größten Sicherheitsbedrohungen gehören, denen Unternehmen heutzutage ausgesetzt sind. Mittlerweile wurden viele Anstrengungen unternommen um die Risiken zu verstehen, die von schadhaften Eingaben mit SQL-Injektionen, Cross-Site-Scripting (XSS) und anderen Gefährdungen für Java Webapplikationen ausgehen. Signifikant weniger Aufmerksamkeit scheint allerdings die Frage zu erhalten, was Anwendungsentwickler wissen müssen um die Wahrscheinlichkeit einer auftretenden Sicherheitslücke beim Schreiben ihrer Software zu reduzieren. Eine Gruppe von Sicherheitsmanagern, von einem Dutzend Organisationen, inklusive Booz Allen Hamilton, Deloitte & Touche, Boeing und Ounce Labs, hoffen diesem Defizit entgegenwirken zu können. Sie sind im Begriff ein Dokument zu veröffentlichen das als Richtschnur für die Entwicklung von sicheren Webapplikationen dienen soll. Das Dokument ist als eine Liste mit grundlegenden Tipps und Hinweisen für Programmierer zu verstehen. Die Gruppe wurde zusammengestellt von dem Bethesda, Md.-based SANS Institut. SANS ist eines der renommiertesten Institute auf diesem Gebiet und die mit Abstand größte Quelle für Sicherheitstraining, Zertifizierung und Forschung weltweit. Das Ziel war es ein Dokument zu verfassen, dass es Java Entwicklern ermöglicht zu verstehen wo die gängigen Sicherheitsprobleme in Bezug auf Webapplikationen liegen, sagte Alan Paller, Direktor für Forschung bei SANS. Das Dokument wird für öffentliche Kritiken und Verbesserungsvorschläge in den nächsten Wochen zur Verfügung stehen. Die endgültige Version wird in Form eines blaugedruckten Sicherheitsdokuments für Java Anwendungsentwickler Anfang des nächsten Jahres erscheinen. Viele der in der Liste enthaltenen wichtigen Anweisungen, beziehen sich auf bereits eingehend bekannte Aspekte innerhalb der Community, meint Ryan Berg, Chief Security Officer am Ounce Labs. Die Idee hinter dem Dokument ist, einen Fokus auf die allgemeinen Schwachpunkte in Java zu richten, die man oft in vielen Java Quellcodes sehen kann. Es gilt das Wissen über die Sicherheit bei allen kompetenten Java-Programmierern zu erweitern. "Das sind die wesentlichen Punkte die wir erreichen wollen und das jeder Entwickler in die Lage versetzt wird, die Richtlinien effizient in seiner Applikation zu implementieren." sagte Berg. Nach Ansicht der Gruppe, sind die folgenden Punkte für jeden Java-Programmierer von Bedeutung:
Neben den genannten Bereichen mit denen man sich vertraut machen sollte, beinhaltet die SANS Liste andere wichtige Sicherheitsaspekte für Java-Programmierer. Diese umfassen Kenntnisse in der Art und Weise, wie die eigene Anwendung mit anderen Anwendungen interagiert und wie man diese Interprozesskommunikation absichert. Java-Programmierer sollten auch die sicherheitsrelevanten Auswirkungen von eingebauten Datentypen und die Funktionsweise der Java Speicherverwaltung kennen. Vielen Programmierern - auch nicht Java-Programmierern - wird das Dokument von SANS dabei helfen sichereren Code zu schreiben. Sobald die endgültige Version des Dokuments erscheint, wird dieses selbstverständlich auch auf der Seite CodePlanet veröffentlicht werden.
|