뉴욕주, 정부조달 조건에 ‘에러 Top 25’ 적극 이용

참조원문:  <<보안뉴스 >>
  뉴옥주는  소프트웨어 제조업체들이   납품하는 제품이 CWE/SANS의 ‘위험한 프로그래밍 에러 탑 25’에 열거된 코딩 에러와 무관하다는 것을 증명하도록 요구할 예정이라고 합니다.

  조달 표준 초안에 근거해 뉴욕 주 기관과 사업을 진행하는 소프트웨어 제조업체들은 그들이 에러 탑 25에 속하는 코드를 제거했음을 증명해야만 합니다.   뉴욕주 당국은 이번 주 작성된 새로운 정부 조달 언어를 통해  소프트웨어 개발자들의 코딩 에러 양산을 줄인다는 계획을 가지고 있습니다.  뉴욕 주는 CWE/SANS가 최근 발표한 ‘위험한 프로그래밍 에러 탑 25’ 리스트를 인용, 가장 위험한 코딩 취약점을 규정하고 소프트웨어 개발자들이 그러한 에러를 피하도록 하고 있다고 합니다.

  현재 초안이 SANS 인스티튜트 사이트에 “애플리케이션  보안 조달 언어(Application Security Procurement Language)”에 게시되어 있습니다.  SANS는 이는 가이드일 뿐 실제 약정 언어는 공인된 대리인을 통해 작성되어야 한다고 조언했습니다.  이와 관련해 이번 새 언어의 초안 작성자이기도 한 뉴욕주 CISO 윌리엄 펠그린(William Pelgrin)은 “인간의 에러는 항상 요소가 될 수 있다”며 “정부 조달 과정에 책임과 신뢰를 부여하고자 한다. 또한 에러 발견시 가능한 빨리 치료와 완화가 이루어질 수 있도록 하고자 함이다”라고 밝혔습니다.

애플리케이션 보안조달 언어(Application Security Procurement Language)에 대한 초안 
  http://www.sans.org/appseccontract/

 ‘위험한 프로그래밍 에러 탑 25’ 리스트
http://www.sans.org/top25errors/
http://cwe.mitre.org/top25/

며칠전에 개발자가 피해야 할 최악의 프로그래밍 에러 TOP25란 글을 포스팅한 적이 있으니 참고하세요
http://w-security.net/entry/TOP25-Most-Dangerous-Programming-Errors