Comme chaque année, le Sans publie cette formidable liste commentée (86 pages-écran) qui recense les principales erreurs commises lors de la conception d’un programme. 25 au total, toutes expliquées, commentées, suivies des méthodes à appliquer pour éliminer tout risque : de la mauvaise protection des structures de pages Web (propices aux attaques XSS) aux antiques attaques en « race condition » dont certaines peuvent conduire à de singulières élévations de privilège, en passant par les CRSF, les buffer overflow classiques, les absences de contrôle des « chemins »… A cette liste, l’on doit ajouter sa proche cousine établie par le Mitre, les CWE , Common Weakness Enumeration, ou tableau des vulnérabilités courantes.
Ces conseils pratiques (ces conseils de « bonnes pratiques ») sont enrichis cette année par deux éléments comparatifs nouveaux. Le premier établit un parallèle entre le « top 10 » de l’Owasp et le bilan du Sans. Le second explique comment, cette année, les risques et erreurs de programmation ont été réévalués en fonction de l’importance que leur accordaient 28 organisations tierces qui ont collaboré à ce travail de romain. Bien des « grands dangers » de l’an passé ont été déplacés dans la liste des « Monster Mitigation », sorte de recette de cuisine très générale servant à éliminer toute une catégorie de vulnérabilités.