...

Microsoft je počeo ozbiljno shvaćati sigurnost oko 2001. Problemi kodiranja u svom softveru otvorili su vrata do intenzivnog novog vala zlonamjernih crva, ili samozastupljenih programa koji su srušili poslužitelje e-pošte, stvorili botnet i ukrali korisničke lozinke, uzrokujući skupe štete tvrtkama.

Kao odgovor, Bill Gates pokrenuo je inicijativu za pouzdanu računalstvo početkom 2002. Dvije godine kasnije tvrtka je pročistila ono što zove životni ciklus razvoja sigurnosti (Security Development Lifecycle, SDL) ili njegove procese kako bi se osiguralo da piše kôd koji je gotovo bezozlijeđen.

Korištenje SDL-a smanjilo je broj sigurnosnih ranjivosti kao što je Windows Vista operativni sustav i SQL Server, jedan od njegovih programa baze podataka, u usporedbi sa starijim verzijama softvera, rekao je Steve Lipner, viši direktor strategije sigurnosne inženjerstva za Microsoftovu Trustworthy Computing Group.

Proširenje SDL-a na ISV (

"Ako netko koristi Microsoftovu platformu aplikaciju treće strane, oni su i dalje Microsoftovi stručnjaci, a drugi proizvođači softvera za poduzeća, poput banaka, jača povjerenje u Microsoft i softver dizajniran za Windows. kupac ", rekao je Lipner. "Želimo da njihovo iskustvo računalstva bude sigurno i sigurno."

Dva alata su besplatna. SDL Optimization Model je upitnik i kontrolni popis koji ocjenjuje organizacijsku praksu razvoja sigurnosti.

Microsoft će ponuditi SDL modelu optimizacije za preuzimanje na web stranici SDL-a u studenom.

"Mislimo da je riječ o tome kako je tvrtka reagirala na nove sigurnosne upozorenja i zakrpe i probleme poput obuke i modeliranja prijetnji. bit će veliki resurs za ljude koji žele ući u SDL i trebaju otkriti kako su započeli ", rekao je Lipner.

Drugi freebie je aplikacija nazvana SDL Threat Modeling Tool 3.0, koja će pomoći softveru arhitekti koji nisu osposobljeni za sigurnost da uočavaju potencijalne sigurnosne probleme u softveru koji izrađuju.

"Ako ste razvojni programer, pričate vam nešto poput" Mislimo da napadač ne pomaže ", rekao je Adam Shostack, viši voditelj programa za tim za životni ciklus razvoja sigurnosti.

Aplikacija omogućuje softverskim arhitektima dijagrama aspekata kao što su tokovi podataka. Microsoft je kodiran u programska pravila koja će sigurnosni inženjeri slijediti prilikom rada s softverom. Korisnici alata za modeliranje prijetnji dobivaju trenutačne povratne informacije, rekao je Shostack. Microsoft će staviti alat na svoj centar za preuzimanje Microsoft Developer Network u studenom.

Posljednja komponenta je formiranje grupe tvrtki koje mogu savjetovati druge tvrtke na SDL-u. Mreža SDL Pro je grupa od devet davatelja sigurnosnih usluga, konzultantskih tvrtki i tvrtki za izobrazbu.

Mreža može savjetovati ISV-ove i poduzeća o načinima testiranja vlastitog interno razvijenog softvera za kodiranje problema. SDL Pro mreža počet će pilot-fazu u studenom, rekao je Lipner. Te tvrtke će se platiti putem klasične konzultantske pristojbe ili računa uslugom pretplate, rekao je Lipner. "Vjerujemo da će se pokazati velikim resursom za organizacije izvan tvrtke Microsoft koje žele krenuti naprijed s SDL, Rekao je Lipner.

Većina softverskih sustava treće strane nije napisana korištenjem najsuvremenije sigurnosne prakse, rekao je Jan Muenther, [cq] CTO sa članom mreže SDL Pro Network n.runs. "Iako Microsoft sami ulažu puno napora u osiguravanje vlastitog koda, ponekad se kodovi koji dobivaju od trećih strana ne podudaraju s istom razinom kvalitete", rekao je.

Muenther smatra da ti novi SDL programi ne mogu samo jačati kvalitetu kodova Microsoftovih partnera, ali također može privući pozornost i na Microsoftove vlastite sigurnosne prakse. "Žele malo širiti riječ", rekao jeRobert McMillan u San Franciscu pridonio je ovoj priči