Le SANS Institute américain, qui propose études et formations sur les questions de sécurité, a publié récemment une liste de 25 erreurs fréquentes de programmation, sources involontaires de vulnérabilités dans des logiciels, et susceptibles d'être exploitées à des fins malveillantes ou d'espionnage.

Cette liste est composée en collaboration avec des experts en sécurité de grandes agences gouvernementales américaines (dont la NSA) et de sociétés du secteur IT telles que Microsoft, Oracle, Red Hat et Apple.  Elle devrait permettre aux développeurs de vérifier leurs lignes de code afin de les épurer de ces erreurs.

Dictionnaire des erreurs

Parmi les erreurs les plus fréquentes, « la mauvaise validation d'une entrée » qui peut mener à l'exécution d'un code malveillant, à la perte de données ou à une attaque avec déni de service (DoS). On trouve ensuite le mauvais encodage, entraînant lui aussi la perte de données et l'exécution de code à distance.

Un dictionnaire recensant toutes ces erreurs, leurs fréquences, leurs conséquences et les manières d'y remédier, a été composé à partir de cette liste par le SANS Institute et l'organisation Mitre, une autre émanation des agences gouvernementales américaines, spécialisée dans la recherche et le développement.

http://www.zdnet.fr/actualites/informatique/0,39040745,39386579,00.htm?xtor=RSS-1