Тесты Национальной программы оценки навыков безопасного программирования (National Secure Programming Skills Assessment, NSPSA) призваны дать компаниям, у которых есть отделы разработки программного обеспечения для собственных нужд, способ выяснить, насколько хорошо программисты умеют писать безопасные программы и где в их знаниях могут оказаться пробелы.
По словам научного директора SANS Алана Пэллера, с помощью NSPSA компании получат надежный способ установить уровень знаний сотрудников компаний, поставляющих им программное обеспечение и услуги.
На начальном этапе будет предложено четыре экзамена, для четырех языков программирования — Cи/C++, Java/J2EE, Perl/PHP и.Net/ASP. Первые экзамены будут проведены в августе в Вашингтоне, а затем в течение года и по всему миру. Стоимость прохождения экзамена составит 400 долл.
Противостоять организованной преступности
«Развитие сертификационных программ по информационной безопасности вызвано всевозрастающей потребностью в укреплении знаний и умений программистов в этой области, - отметил Пэллер. - Киберпреступность все чаще использует уязвимости на уровне приложений, а многие из этих уязвимостей возникают в результате распространенных ошибок программирования, связанных с проверкой ввода, переполнением буфера и обработкой целочисленных значений».
По словам Пэллера, организованные криминальные группировки обратились к компьютерным преступлениям и все чаще совершают атаки на уязвимые места приложений. Программа NSPSA, задача которой состоит в оценке навыков и сертификации, поможет программистам выявить пробелы в их знаниях, а организациям - найти программистов с хорошими навыками в области безопасности.
В программе принимает участие более 360 организаций, в том числе коммерческие предприятия, правительственные агентства и университеты. Экзаменационные вопросы разработаны группой, в которую вошло более 20 сотрудников различных правительственных агентств, университетов и технологических компаний. Среди них специалисты из университета Virginia Tech, центра CERT Coordination Center, компаний Fortify Software, SPI Dynamics, Watchfire и Калифорнийского университета в Дэвисе.
Создатели тестов собираются вместе со специалистами из организации MITRE и группы Sans @RISK по мере необходимости обновлять содержание вопросов и следить за их актуальностью.
Осведомлен – значит, вооружен
Экзамены должны проверить, как программист ориентируется в основных проблемах безопасности, встающих при разработке программ, не оценивая уровень знаний в сложных темах безопасности. Главной их целью является определение способностей экзаменующегося замечать ошибки в программном коде и применять основные рекомендуемые методы при разработке программ. Для ответа на многие вопросы требуется отметить потенциальные проблемы с безопасностью в данном отрывке программного кода. Оценки будут выставляться в баллах, а не по принципу «сдал - не сдал».
«Программисты не могут ни с того ни с сего придумать способ «SQL-инъекции» или подделки HTTP-запросов с перенаправлением на сайт», - заявил, представляя программу, руководитель группы Open Web Application Security Project Джефф Вильямс. - Однако нельзя обезопасить приложение, не понимая, в чем заключаются эти и другие подобные атаки».
Программа NSPSA стартует в период, когда кибератаки все чаще нацеливаются на уязвимые места приложений, а не на дефекты в сети. Эта тенденция уже вынудила многие крупные компании, в том числе Microsoft, провести масштабные проверки методов разработки приложений с целью искоренения распространенных ошибок программирования. Кроме того, она привела к росту спроса на продукты, предназначенные для выявления ошибок на стадиях разработки и тестирования программ.