2009年CWE / SANS支持报价2009年CWE / SANS编程错误的项目是一个巨大的资源来帮助软件开发人员识别最重要的了解哪些安全漏洞,预防和解决。 ——迈克尔•霍华德主要安全项目经理、安全开发生命周期的团队,微软(msft . o:行情)。 当面对一个巨大的应用程序组合,可能含有成千上万的超过700种不同类型的实例的弱点,知道从哪里开始是一项艰巨的任务。得当,冲压出CWE前25不仅可以使你更安全而且可以降低软件开发成本。 ——杰夫•威廉姆斯方面安全OWASP基金会首席执行官和椅子 出版的一个编程错误列表,使网络间谍和网络犯罪是一个重要的第一步在管理我们的网络和技术的脆弱性。需要摆脱对成千上万个人的弱点,并专注在相对较少的软件缺陷,允许漏洞发生,每一个都有普遍的根本原因。这样一个列表允许针对改善软件开发实践,工具,和需求来管理这些问题在生命周期的早期,在那里他们可以解决大规模和成本效益。 ——托尼•塞奇国家安全局的信息保障 2009 CWE / SANS编程错误反映的问题我们已经看到在应用软件,帮助为我们提供可操作的方向,不断提高我们的软件的安全。 主任-韦斯利·h·Higaki、软件保证办公室的首席技术官,赛门铁克公司 安全问题的优先列表的出发点是让软件安全实用的商业世界的资源约束和船日期。排名前25位的列表给开发人员一组最少的编码错误,软件使用客户之前必须根除。 ——公司的共同创始人兼首席技术官Veracode Chris Wysopal Inc .) 现在,前25,我们可以花更少的时间工作与警察在房子被抢了,转而专注于让门锁在它发生之前。 ——保罗•库尔茨的主要作者美国国家战略安全的网络和软件保证论坛执行董事卓越代码(SAFECode) 排名前25位的列表中把一个强大的工具的程序员以及每个人参与设计和开发软件。一个简单的事实:这样一个列表现在存在将允许软件保证更有效地练习。 ——丹Reddy,咨询产品经理,产品EMC安全办公室 作为倡导消费者这被视为一个巨大的进步在为所有用户提供安全。它增加意识的不同层面的安全软件通过强调它的作用在我们的日常使用的软件产品。CWE / SANS的努力将功能添加到我们的工具盒进而艾滋病我们使命的SwAC汇集行业和政府将所有软件产品的安全性和可靠性。 ——丹狼、主管、软件保证财团 CWE的前25名应该关注因为目标最麻烦的编程错误可以减少漏洞的发生,暴露在国家层面上,而减少我们不良的补丁的依赖。 莫尼耶——帕斯卡,普渡大学出现 CWE / SANS工作非常有价值,将为许多组织提供一种有形的方式开始处理软件安全问题。 ——迈克尔•Klosterman SCADA操作,西部地区电力协会、美国能源部 突出关键类型的编程失败是一种宝贵的介绍必须引用完整的分类,以减少漏洞在软件建设。这是一个巨大的正确方向的一步,应该通过组织将编程标准文档的安全规则。” ——比尔瓦什,总统和首席运营官,Sun Microsystems联邦公司。 让我们使用这个列表来启动的解决方案——每年使2009年使事情发生和解决这些问题已经存在了太长时间。太多的解决方案来帮助解决这些稀松平常的错误。今天开始使用该列表来确保您的软件因为如果过去几年一直在任何指示,明天已经太迟了。 瑞安- Berg,联合创始人兼首席科学家,盎司实验室 这个排名前25位的是毫无疑问的一个最有用的编译常见编码错误导致软件的漏洞。列表,创建了基于反馈许多专家在安全行业,专注于选择标准如严重和普遍,因此覆盖广泛的今天最关键的错误通常引入应用程序。前25名中以一种易读和有趣的语言和编译不仅提供了一个很好的理解常见的编码错误,而且如何避免它们。我可以因此强烈推荐这个读任何参与软件设计,以确保他们不会犯同样的错误在2009年之前他们。 ——首席安全专家,Secunia Carsten Eiram 这个列表的编程错误应该非常有用的社区。它帮助我们让我们的集体“拥抱”理解最常见的安全缺陷在我们的代码中,正如OWASP前十名帮助我们理解攻击这些缺陷。 ——肯尼斯·r·范·Wyk KRvW Associates LLC 的出版的编程错误列表启用网络间谍和网络犯罪是一种重要的软件安全意识从系统administrator-centered视图(探测、响应补丁)软件engineering-centered视图(设计、实现、验证)。 ——康拉德Vesey信息保障委员会,国家安全局 这是第一次认真的尝试建立一个分类的软件安全漏洞和缺陷,强调实际应用识别、预防和解决或缓解他们所产生的问题。这是必要的,早就应该一步创建一个通用语言为软件开发和安全社区需要一个更理性的方式来解决目前最紧急的和相关的软件安全问题。 ——Ivan Arce核心安全技术公司的首席技术官。 2009年CWE / SANS编程错误的努力目标是正确的。教育软件开发人员在最重要的问题,向他们展示如何避免编写安全漏洞,此工作将帮助程序员正确代码问题之前他们成为安全问题。 -肯特Landfield、导演、风险和合规安全研究,McAfee公司。 软件中的错误是一个瘟疫对我们的专业和对企业不利。他们是不可避免的,然而错误的理解是最重要的往往是困难和昂贵的方式获得,当他们出现在字段。CWE / SANS努力将提高认识的巨大的各种不同类型的缺陷可能发生,并将帮助程序员关注那些最重要的应用程序的质量和安全。 ——保罗•安德森Grammatech公司工程副总裁。 CWE毫无疑问是最有前途的分类法为计算机安全问题。前25名CWE列表是另一个好砖在路上为了提高编目,检测和教学相关的应用程序安全性的问题。 约书亚·j·德雷克,iDefense实验室VeriSign, Inc .) CWE / SANS列表是一个很好的战术资源组织优先和纠正当今成功的攻击的根源。这应该是所有开发人员必读,因为它是一个“悬崖笔记”版本的基本安全编码原则。 ——瑞安·c·巴内特,应用程序安全性研究主管,违反安全 |
