Computerworld, США
SANS Institute предлагает тестировать программистов на знания в области информационной безопасности
Отраслевая группа, в которую вошло множество организаций во главе с SANS Institute (SysAdmin, Audit, Networking and Security Institute), подготовила новую программу оценки навыков и сертификации программистов в области информационной безопасности.
Тесты американской Национальной программы оценки навыков безопасного программирования (National Secure Programming Skills Assessment, NSPSA) призваны дать компаниям, у которых есть отделы разработки программного обеспечения для собственных нужд, способ выяснить, насколько хорошо программисты умеют писать безопасные программы и где в их знаниях могут оказаться пробелы.
По словам научного директора SANS Алана Пэллера, благодаря новой сертификационной программе компании получат надежный способ установить уровень знаний сотрудников компаний, поставляющих им программное обеспечение и услуги.
На начальном этапе будет предложено четыре экзамена для четырех языков программирования — Cи/C++, Java/J2EE, Perl/PHP и .Net/ASP. Первые экзамены будут проведены в августе в Вашингтоне, а затем в течение года и по всему миру. Ориентировочная стоимость прохождения экзамена составит 400 долл.
«Развитие сертификационных программ по информационной безопасности вызвано всевозрастающей потребностью в укреплении знаний и умений программистов в этой области, — отметил Пэллер. — Киберпреступность все чаще использует уязвимости на уровне приложений, а многие из этих уязвимостей возникают в результате распространенных ошибок программирования, связанных с проверкой ввода, переполнением буфера и обработкой целочисленных значений».
По словам Пэллера, организованные криминальные группировки обратились к компьютерным преступлениям и все чаще совершают атаки на уязвимые места приложений. Новая сертификационная программа, задача которой состоит в оценке навыков и сертификации, поможет программистам выявить пробелы в их знаниях, а организациям — найти программистов с хорошими навыками в области безопасности.
В программе принимает участие более 360 организаций, в том числе коммерческие компании, госучреждения и университеты. Экзаменационные вопросы разработаны группой, в которую вошло более 20 человек. Среди них специалисты из Технологического университета штата Вирджиния, центра CERT Coordination Center, компаний Fortify Software, SPI Dynamics, Watchfire и Калифорнийского университета.
Создатели тестов собираются вместе со специалистами из MITRE и Sans@RISK по мере необходимости обновлять содержание вопросов и следить за их актуальностью.
Осведомлен — значит вооружен
Экзамены должны проверить, как программист ориентируется в основных проблемах безопасности, встающих при разработке программ, не оценивая уровень знаний в сложных темах безопасности. Главной их целью является определение способностей экзаменующегося замечать ошибки в программном коде и применять основные рекомендуемые методы при разработке программ. Для ответа на многие вопросы требуется отметить потенциальные проблемы с безопасностью в данном отрывке программного кода. Оценки будут выставляться в баллах, а не по принципу «сдал — не сдал».
Новая сертификационная программа стартует в период, когда кибератаки все чаще нацеливаются на уязвимые места приложений, а не на дефекты в сети. Эта тенденция уже вынудила многие крупные компании, в том числе Microsoft, провести масштабные проверки методов разработки приложений с целью искоренения распространенных ошибок программирования. Кроме того, она привела к росту спроса на продукты, предназначенные для выявления ошибок на стадиях разработки и тестирования программ.