뉴욕주(州)가 소프트웨어 제조업체들에게 제품이 CWE/SANS의 ‘위험한 프로그래밍 에러 탑 25’에 열거된 코딩 에러와 무관하다는 것을 증명하도록 요구할 것으로 알려졌다.

외신 보도에 따르면 뉴욕주 당국은 이번 주 작성된 새로운 정부 조달 언어를 통해  소프트웨어 개발자들의 코딩 에러 양산을 줄인다는 계획이다. 즉, 조달 표준 초안에 근거해 뉴욕 주 기관과 사업을 진행하는 소프트웨어 제조업체들은 그들이 에러 탑 25에 속하는 코드를 제거했음을 증명해야만 한다.

뉴욕 주는 CWE/SANS가 최근 발표한 ‘위험한 프로그래밍 에러 탑 25’ 리스트를 인용, 가장 위험한 코딩 취약점을 규정하고 소프트웨어 개발자들이 그러한 에러를 피하도록 했다.

현재 초안이 SANS 인스티튜트 사이트에 “애플리케이션 보안 조달 언어(Application Security Procurement Language)”에 게시되어 있다. 한편, SANS는 이는 가이드일 뿐 실제 약정 언어는 공인된 대리인을 통해 작성되어야 한다고 조언했다.

이아 관련해 이번 새 언어의 초안 작성자이기도 한 뉴욕주 CISO 윌리엄 펠그린(William Pelgrin)은 “인간의 에러는 항상 요소가 될 수 있다”며 “정부 조달 과정에 책임과 신뢰를 부여하고자 한다. 또한 에러 발견시 가능한 빨리 치료와 완화가 이루어질 수 있도록 하고자 함이다”라고 밝혔다.

한편, 지난 12일(현지 시간) 발표된 SANS와 미트리(MITRE Corp.)가 주관하고 마이크로소프트, 시만텍, 미(美) 국가안보국 등 30개 이상의 단체가 참여한 ‘에러 탑 25(The Top 25 Errors)’에 관한 보다 자세한 내용은 SANS 홈페이지 www.sans.org/top25errors에서 확인할 수 있다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>