Een groep van meer dan dertig organisaties, waaronder Microsoft en het Amerikaanse Department of Homeland Security, heeft een rapport opgesteld met daarin de grootste fouten die gemaakt worden bij softwareontwikkeling.
De groep is tot een top 25 gekomen van gevaarlijkste computerfouten die door kwaadwillenden misbruikt kunnen worden. Het rapport is tot stand gekomen op initiatief van onderzoeksorganisatie Mitre en beveiligingsinstituut Sans, terwijl de National Cyber Security Division van het Amerikaanse Homeland Security en de NSA voor een deel van de financiering hebben gezorgd. Bedrijven als Microsoft, Oracle, Symantec en Apple hebben geholpen bij het samenstellen van de lijst.
Het doel van de top 25 is om ontwikkelaars bewust te maken van de ernst van kwetsbaarheden, om ze inzicht te geven in de ergste bugs en om ze te helpen de fouten niet te maken. Om de impact van de bugs te illustreren meldt Sans dat twee softwarefouten in de top 25 in 2008 voor 1,5 miljoen beveiligingsproblemen bij websites zorgden. De lijst bestaat onder andere uit buffer overflows, fouten bij inputvalidatie en slecht geregelde toegangscontrole. Bij elk item wordt een omschrijving en een beoordeling van de risico's gegeven evenals voorbeelden van de bugs. Daarna volgt een uitleg hoe het maken van de fout voorkomen kan worden.
Op de lange termijn moet het initiatief tot veiliger software leiden door certificaten te verlenen aan programma's die vrij zijn van de 25 fouten. Ook is het de bedoeling dat er tools komen die de fouten kunnen repareren en moeten er bij veiligheidstrainingen aandacht besteed gaan worden.