SANS Institute lässt Programmierer Examen schreiben

Das Schulungs- und Zertifizierungsprogramm zielt darauf ab, den Programmierern beizubringen, sicheren Code zu programmieren. Getestet wird ihr Wissen in den vier Programmiersprachen C/C++, Java/J2EE, Perl/PHP, und .NET/ASP. Das Examen erhält, wer Fehler, die zu Sicherheitslücken führen können, erkennt und behebt. Der Programmierer darf sich dann außerdem GIAC (Global Information Assurance Certification) Secure Software Programmer (GSSP) nennen.

Hintergrund des Programms ist die wachsende Gefahr aus dem Internet. “Organisierte Gruppen nehmen sich immer häufiger Schwachstellen in Anwendungen vor, die das Ergebnis unsicheren Codes sind”, erklärte Alan Paller, Director of Research am SANS Institute. Das Prüfungsverfahren solle Programmierern vor Augen führen, “was sie wissen und nicht wissen” und Unternehmen helfen, fähige Leute von unfähigen zu unterscheiden.

Das Projekt haben eine Reihe namhafter Unternehmen und Forschungsorganisationen befürwortet und für lange überfällig gehalten. Ein Autor der MITRE-Organisation, die im Auftrag der US-Regierung mit dem CVE-Programm alle Lücken in eine Liste aufnimmt und versucht, ihnen für eine bessere Wiedererkennung einheitliche Namen zu geben, sagte, dass “7000 Schwachstellen alleine 2006”, die Notwendigkeit überdeutlich machten.

Juniper, Siemens, Symantec und TippingPoint gehören ferner neben der OWASP-Organisation, die turnusmäßig die vielbeachteten Top-Ten-Lücken veröffentlicht, zu den teilnehmenden Unternehmen. Im August startet das Projekt in Washington als Pilotprogramm. Noch 2007 soll es weltweit angeboten werden.