Esperti di sicurezza, società produttrici di software e singoli sviluppatori si sono recentemente incontrati a Washington per fare il punto sui più comuni errori di programmazione. L’iniziativa è stata sostenuta dal SANS Institute (SysAdmin, Audit, Networking and Security), istituzione fondata nel 1989 per promuovere e sviluppare i temi legati alla sicurezza degli applicativi utilizzati ogni giorno da milioni di utenti. I partecipanti all’incontro hanno sottoscritto un importante documento, che raccoglie i 25 errori più comuni commessi dai programmatori che possono portare all’insorgenza di bug e falle di sicurezza.
Stando alle informazioni fornite da SANS, appena due errori sui 25 identificati hanno causato nel solo 2008 problemi di sicurezza per circa 1,5 milioni di siti web, con conseguenze anche gravi per i dispositivi che li hanno visitati. Un numero significativo, che dimostra la necessità di una programmazione maggiormente attenta e un controllo più efficace del software immesso sul mercato. Una sottovalutazione dei problemi o una eccessiva inconsapevolezza portano spesso alla creazione di applicativi con bug e falle di sicurezza, talvolta difficili da estirpare e sanare.
«C’è ormai un ampio accordo sui principali problemi di programmazione. Ora è giunto il momento di risolverli. Prima di tutto dobbiamo essere certi che ogni programmatore sappia come scrivere codice libero dalla Top 25 di errori, dopodiché dobbiamo essere certi che ogni gruppo di programmazione abbia a disposizione processi in cui trovare, risolvere o evitare i problemi e abbia gli strumenti necessari per verificare che il suo codice sia libero da errori anche attraverso un controllo automatico» ha dichiarato Mason Brown, responsabile di SANS.
La Top 25 con i più comuni e pericolosi errori di programmazione è stata stilata in collaborazione con alcuni importanti protagonisti dell’IT e della sicurezza in Rete come Microsoft, Oracle, Symantec, Apple, Secunia e Red Hat. La speranza è che l’identificazione dei 25 errori non passi presto in secondo piano, ma possa diventare una reale opportunità per migliorare gli applicativi. Ogni programma distribuito in versione finale potrebbe infatti contenere una certificazione che lo dichiara esente dai 25 errori, mentre gli applicativi ancora in fase di beta potrebbero essere accompagnati da una descrizione dettagliata degli errori ancora presenti, o non del tutto eliminati.
Promuovendo l’elenco dei 25 errori più comuni, messi a disposizione in una apposita sezione del portale di SANS, l’iniziativa intende diffondere un cambiamento culturale nell’attuale creazione del software. La necessità di raggiungere presto il mercato con nuovi applicativi, magari battendo la concorrenza, rende talvolta difficoltosa la creazione di software privo di errori. Eppure, l’osservanza di poche semplici regole può spesso scongiurare l’insorgenza di bug e falle di sicurezza, con sensibili vantaggi non solo per gli utenti, ma anche per le medesime società chiamate a sostenere minori costi di assistenza e manutenzione.