A relevância da profissão de programador está patente num relatório publicado recentemente, embora não pelos melhores motivos. O The Sans Institute e o Mitre, com o apoio da Agência Nacional de Segurança norte-americana, reuniram num único documento a lista dos 25 erros de programação que mais vulnerabilidades de segurança podem causar.

O relatório contou com a colaboração de mais de 40 empresas ligadas às tecnologias, da Europa e Estados Unidos, entre as quais alguns nomes "sonantes", como a Apple, a Microsoft, a Oracle, a Red Hat e a Symantec, sendo - ao que consta - a primeira vez que a indústria chega a um consenso deste género.

A elaboração deste Top 25 tem vários objectivos, o primeiro dos quais a criação de software mais seguro, referem os seus promotores. Dentro deste, a lista serve outros propósitos, nomeadamente pretender "eliminar falhas na fonte", mostrando aos programadores os erros mais comuns - como se de um guia se tratasse - por forma a que estes os possam evitar antes que as aplicações que desenvolvem saiam para as lojas.

Sugere-se igualmente que a lista seja aproveitada no desenvolvimento de técnicas de programação mais apuradas ou usada como ferramenta de negociação entre compradores e vendedores de software.

A este respeito, a imprensa internacional dá conta de um projecto em curso em Nova Iorque, onde está a ser criado uma espécie de "certificado", através do qual os fornecedores de software poderão assegurar-se de que os seus códigos não apresentam nenhum dos erros listados.

Futuramente, o documento pode vir a ser usado pelas agências governamentais para responsabilizar as fabricantes, caso as suas aplicações originem falhas de segurança.

Para se ter uma ideia, dois dos bugs listados neste Top25 conseguiram ser responsáveis por mais de 1,5 milhão de vulnerabilidades durante o ano passado.

Entre a lista de falhas apresentada pelo SANS e pelo Mitre estão bugs que permitem SQL injection ou ataques de cross-site scripting e erros que possibilitam o acesso a passwords e outra informação sensível.

Depois da contextualização da iniciativa e explicação dos seus objectivos, nada como dar uma vista de olhos e tirar as suas próprias conclusões. O relatório completo está disponível em http://cwe.mitre.org/top25.