...

Microsoft a început să ia în serios securitatea în jurul anului 2001. Problemele de codificare din software-ul său au deschis ușa la un nou val intenționat de viermi rău-intenționați sau programe de auto-propagare care au prăbușit serverele de e-mail, au creat botnete și au furat parole de utilizatori, cauzând daune costisitoare întreprinderilor.

În răspuns, Bill Gates a lansat inițiativa Trustworthy Computing.De doi ani mai târziu, compania a perfecționat ceea ce se numește SDL (Life Cycle Development Lifecycle) sau procesele sale pentru a se asigura că scrie codul antiglonț

Utilizarea SDL a redus numărul vulnerabilităților de securitate uri în sistemul de operare Windows Vista și în SQL Server, unul dintre programele sale de bază de date, comparativ cu versiunile mai vechi ale software-ului, a declarat Steve Lipner, director senior al strategiei de inginerie în securitate pentru Trustworthy Computing Group din Microsoft. furnizori independenți de software) și alți dezvoltatori pentru întreprinderi, cum ar fi băncile, consolidează încrederea în Microsoft și software-ul conceput pentru Windows, a spus Lipner.

"Dacă cineva folosește o aplicație terță parte pe platforma Microsoft, client ", a spus Lipner. "Vrem ca experiența lor în computere să fie în siguranță și sigură."

Două instrumente sunt gratuite. Modelul SDL de optimizare este un chestionar și o listă de verificare care evaluează practicile de dezvoltare a securității unei organizații. Acesta analizează modul în care o companie răspunde noilor alerte de securitate și patch-uri, precum și probleme precum formarea și modelarea amenințărilor.

Microsoft va oferi modelul SDL de optimizare pentru descărcare pe pagina sa SDL în noiembrie. va fi o resursă excelentă pentru persoanele care doresc să intre în SDL și trebuie să-și dea seama cum au început ", a spus Lipner.

Celălalt freebie este o aplicație numită SDL Threat Modeling Tool 3.0, care va ajuta software-ul arhitecți care nu sunt familiarizați cu securitatea pentru a detecta problemele potențiale de securitate în software-ul pe care îl proiectează.

Dacă sunteți dezvoltator, spunându-vă lucruri precum "Gândiți-vă ca un atacator" nu ajută ", a spus Adam Shostack, manager de program senior pentru echipa de dezvoltare a ciclului de viață al securității.

Aplicația permite diagramei arhitecților de software, cum ar fi fluxurile de date. Microsoft a codificat regulile de program pe care le-ar urma inginerii de securitate atunci când lucrează cu software-ul. Utilizatorii instrumentului de modelare a amenințărilor obțin feedback instant, a spus Shostack. Microsoft va pune instrumentul în centrul de descărcări al Microsoft Developer Network în luna noiembrie.

Ultima componentă este formarea unui grup de companii care pot consilia alte companii din SDL. SDL Pro Network este un grup de nouă furnizori de servicii de securitate, companii de consultanță și companii de formare.

Rețeaua poate consilia ISV-urile și întreprinderile cu privire la modalitățile de testare a propriilor software-uri dezvoltate intern pentru probleme de codificare. Rețeaua SDL Pro va începe o etapă pilot în noiembrie, a spus Lipner. Aceste companii vor fi achitate fie printr-un comision clasic de consultanță, fie prin factură de către un serviciu de abonament, a spus Lipner.

"Credem că se vor dovedi a fi o resursă excelentă pentru organizațiile din afara Microsoft care doresc să avanseze cu SDL ", A spus Lipner.

Majoritatea software-urilor de la terțe părți Windows nu sunt scrise cu ajutorul unor tehnici de securitate de ultimă generație, a declarat Jan Muenther, CTO cu SNR Pro Network member n.runs. "În timp ce Microsoft au depus multe eforturi pentru a-și asigura propriul cod, uneori codul obținut de la terți nu se potrivește cu același nivel de calitate", a spus el.

Muenther consideră că aceste noi programe SDL nu au putut doar califică calitatea codului partenerilor Microsoft, dar ar putea atrage atenția și asupra practicilor de securitate proprii ale Microsoft. "Ei vor să răspândească puțin cuvântul", a spus el.

Robert McMillan din San Francisco a contribuit la această poveste.