Совет по безопасному программированию (Secure Programming Council) предложил для компаний стандарт, предназначенный для проверки знаний разработчиков защитного ПО. Его цель состоит в том, чтобы компании могли гарантировать, что их разработчики обладают достаточным уровнем знаний по организации защиты при создании программного обеспечения.
Уже есть стандарт для языков Java/JavaEE («Essential Skills for Secure Programmers Using Java/JavaEE»). Планируется добавить тестирования по С, C ++, .Net, PHP, и PERL.
Некоторые из проверяемых областей: обработка данных, аутентификация, управление сессиями и контроль доступа. Например, Java-программисты должны уметь писать программы, считывающие данные с интерфейсов, проверять их и затем рассылать. Программисты также должны быть знакомым с такими сценариями атак, межсайтовый скриптинг и SQL-инъекции.
«Более 40 компаний, правительственных агентств и фирм, специализирующихся на безопасности, участвовали в установке стандартов, которые касаются сфер финансовых услуг, производства, космической отрасли, вооруженных сил и аутсорсинга», - сказал Алан Поллер (Alan Paller), руководитель научно-исследовательских работ института SANS.
Тестирование, которым будет руководить SANS, намечено на 5 декабря (Лондон). Оно будет продолжаться в течение следующих восьми месяцев в городах США и Европы. Многие компании планируют проэкзаменовать своих работников.
Стоимость теста знаний будет зависеть от уровня подготовки специалиста (от студентов до сотрудников крупной корпорации) и составлять от $50 до $450.