Le rapport 2009 CWE/SANS des 25 erreurs de programmation les plus dangereuses est une liste des erreurs de programmation les plus importantes pouvant fragiliser la sécurité des logiciels, On les trouve fréquemment, et elles sont aisées à trouver et aisées à exploiter. Elles sont dangereuses car elles permettent souvent aux attaquants de prendre le contrôle total du logiciel, voler des données, ou empêchent le logiciel de fonctionner.

Ce rapport que vous pouvez consulter dans son intégralité sur le site de programmez.com est issu de la collaboration entre les instituts SANS, MITRE et un grand nombre d'experts en matière de sécurité logiciel aux USA et en Europe. Elle s'appuie sur le développement des 20 vecteurs d'attaque SANS (http://www.sans.org/top20) et sur la liste des faiblesses les plus communes (CWE) développée par MITRE (http://cwe.mitre.org), MITRE assure la maintenance du site web CWE, avec l'aide de la division sur la sécurité informatique du département US de la Sécurité Intérieure, Cette liste présente des descriptions détaillées des 25 erreurs de programmation avec les solutions pour les éviter ou en diminuer les conséquences. Le site CWE contient également des informations sur plus de 700 erreurs de programmation additionnelles et les erreurs d'architecture qui peuvent permettre d'en exploiter les vulnérabilités.

Le but principal de la liste des 25 est d'éduquer les programmeurs afin d'éviter les erreurs à la source, et d'éliminer les problèmes les plus fréquents avant même la distribution du logiciel. Cette liste sera un outil qui permettra aux programmeurs d'éviter les erreurs majeures qui sont la plaie de cette industrie. Les utilisateurs de logiciel pourraient utiliser la liste afin d'exiger des logiciels plus surs. Finalement les responsables des développements et CIO peuvent utiliser la liste afin de contrôler l'évolution de la sécurité des logiciels.