Jede Software weist Mängel auf, insbesondere im heutigen komplexen Code mit Tausenden von Zeilen, die nur so formuliert werden müssen. Das Institut für Elektrotechnik und Elektronik (IEEE) ist sich dieses Dilemmas bewusst. Ab 2014 startete das IEEE eine neue Initiative: das Computer Society Center for Secure Design (CSD). Es ist Mission? Anleitung zum Erkennen von Softwaresystemen, die gefährdet sind, sowie zum Entwerfen und Erstellen von Softwaresystemen mit starken, identifizierbaren Sicherheitseigenschaften
Man könnte sagen, dass das schon mal gemacht wurde. Das ist wahr. CSD beabsichtigt jedoch, einen anderen Ansatz zu verfolgen, indem ein Teil des Sicherheitsfokus von der Suche nach Fehlern auf die Ermittlung gemeinsamer Konstruktionsfehler verlagert wird, in der Hoffnung, dass Softwarearchitekten voneinander lernen können.
Um diese Informationen zu erhalten, suchte der Zentralverwahrer die Hilfe von Veteranen auf dem Gebiet der Softwaresicherheit - mehr oder weniger von denen, die die oben genannten Fehler begangen haben oder bei deren Behebung behilflich waren. Nach langen Überlegungen fasste die Gruppe ihre Gedanken in einem Artikel zusammen: "Vermeidung der Top 10 Software Security Design-Mängel". IEEE erwähnte, dass viele der Fehler, die die Liste erstellt haben, seit Jahrzehnten bekannt sind, aber weiterhin ein Problem darstellen. Hier werfen wir einen Blick auf diese Mängel - und wie man sie behebt.