SANS fühlt Programmierern in Sachen Security auf den Zahn

27.03.2007
Mit einer Reihe von Tests will das SANS Institute Entwickler auf ihre Fähigkeit prüfen, sicheren Code zu schreiben.

Angesichts der zunehmenden Internet-Kriminalität, die teilweise erst durch Programmierfehler ermöglicht wird, will das SANS Institute vier Examen für Programmier einführen.

Laut SANS, das ein Sicherheitsschulungs-Institut betreibt, werden die Prüfungen die Programmierumgebungen C/C++, Java/J2SE, Perl/PHP und .NET/ASP abdecken. Das Programm soll im August in Washington D.C. starten und bis Ende 2007 weltweit verfügbar sein.

Die Prüfungen dienen dazu, eventuelle Lücken in der Ausbildung eines Programmierers zu identifizieren, und sollen ihm gegebenenfalls ermöglichen, über das "GIAC"-Programm (Global Information Assurance Certification) den GIAC Secure Software Programmer Status (GSSP) zu erwerben.

Laut Steven Crofts, Director Vendor and Media Programs bei SANS, haben Vertreter der IT-Industrie beklagt, nicht zu wissen, wie gut ihre Programmierer im Schreiben sicherer Applikationen sind. "Dies ist der erste groß angelegte Versuch zu bewerten, ob die Mitarbeiter einer Organisation wissen, was sie tun", erläutert Crofts. Laut Johannes Ullrich, Chief Technical Officer des SANS Internet Storm Center, wurden im vergangenen Jahr Tausende Schwachstellen in Softwareprogrammen gefunden. Dabei seien den Programmieren Probleme wie Buffer-Overflow-Fehler meist bewusst. Im Gegensatz zu internen Anwendungen stellten Web-Applikationen, wie sie etwa für E-Commerce eingesetzt würden, stellten jedoch andere Anforderungen an die Codierung - insbesondere, wenn sie mit Datenbanken mit sensiblen Informationen verbunden sind, so Ullrich.

Für ihn besteht das Problem darin, dass Entwickler die sicherheitsrelevanten Auswirkungen einiger Programmiersprachenfunktionen häufig nicht verstehen. Zudem stünden sie oft unter Zeitdruck, weil Unternehmen möglichst schnell neue Services übers Web ausrollen wollen - mit dem Ergebnis, dass Sicherheit mitunter hinter dem Release-Datum zurückstehen müsse. (kf)