Microsoft publikuje narzędzia bezpieczeństwa wewnętrznego, metody

Microsoft wkrótce wyda narzędzia i metody, z których korzystał w ciągu ostatnich kilku lat, aby zmniejszyć liczbę problemów związanych z bezpieczeństwem w swoim oprogramowaniu.

Microsoft zaczął poważnie traktować bezpieczeństwo w 2001 roku. Problemy z kodowaniem w jego oprogramowaniu otworzyły drzwi do nowej, intensywnej fali złośliwych robaków lub samopopularyzujących się programów, które uszkodziły serwery poczty e-mail, utworzyły botnety i ukradły hasła użytkowników, powodując kosztowne szkody dla firm.

W odpowiedzi Bill Gates uruchomił godną zaufania inicjatywę obliczeniową na początku 2002 r. Dwa lata później firma udoskonaliła to, co nazywa cyklem SDL (Security Development Lifecycle) lub jego procesami, aby zapewnić zapisywanie kodu zbliżającego się do kuloodpornego.

Używanie SDL zmniejszyło liczbę słabych punktów bezpieczeństwa Ility w systemie operacyjnym Windows Vista i SQL Server, jeden z programów bazodanowych, w porównaniu ze starszymi wersjami oprogramowania, powiedział Steve Lipner, starszy dyrektor ds. strategii bezpieczeństwa w firmie Microsoft Trustworthy Computing Group.

Rozszerzenie SDL na ISV (niezależni dostawcy oprogramowania) i inni programiści dla przedsiębiorstw, takich jak banki, wzmacniają zaufanie do Microsoftu i oprogramowania zaprojektowanego dla Windows, powiedział Lipner.

"Jeśli ktoś korzysta z aplikacji innej firmy na platformie Microsoft, nadal jest Microsoft klienta ", powiedział Lipner. "Chcemy, aby ich obsługa była bezpieczna."

Dwa z narzędzi są darmowe. Model optymalizacji SDL to kwestionariusz i lista kontrolna, która ocenia praktyki rozwoju bezpieczeństwa organizacji. Sprawdza, jak firma reaguje na nowe alerty i poprawki zabezpieczeń oraz na takie kwestie, jak szkolenia i modelowanie zagrożeń.

Microsoft udostępni model optymalizacji SDL do pobrania na stronie internetowej SDL w listopadzie.

"Uważamy, że to jest będzie świetnym źródłem informacji dla ludzi, którzy chcą dostać się do SDL i muszą dowiedzieć się, jak zacząć ", powiedział Lipner.

Innym freebiem jest aplikacja o nazwie SDL Threat Modeling Tool 3.0, która pomoże oprogramowaniu architektów, którzy nie są zorientowani w bezpieczeństwie, aby dostrzec potencjalne problemy z bezpieczeństwem w projektowanym oprogramowaniu.

"Jeśli jesteś programistą, mówienie takich rzeczy jak" Myśl jak atakujący "nie pomaga," powiedział Adam Shostack, starszy menedżer programowy zespołu ds. cyklu rozwoju bezpieczeństwa

Aplikacja umożliwia architektom oprogramowania analizę takich aspektów, jak przepływ danych. Firma Microsoft zakodowała w regułach programu, które inżynierowie bezpieczeństwa będą przestrzegać podczas pracy z oprogramowaniem. Użytkownicy narzędzia do modelowania zagrożeń otrzymują natychmiastową informację zwrotną, powiedział Shostack. Microsoft umieści to narzędzie w centrum pobierania Microsoft Developer Network w listopadzie.

Ostatnim elementem jest utworzenie grupy firm, które mogą doradzać innym firmom na SDL. SDL Pro Network to grupa dziewięciu dostawców usług bezpieczeństwa, firm konsultingowych i firm szkoleniowych.

Sieć może doradzać niezależnym dostawcom oprogramowania i przedsiębiorstwom w zakresie sposobów testowania własnego opracowanego oprogramowania do rozwiązywania problemów związanych z kodowaniem. Sieć SDL Pro rozpocznie w listopadzie fazę pilotażową, powiedział Lipner. Te firmy będą zarabiać albo za pośrednictwem klasycznej opłaty konsultingowej, albo rachunku za subskrypcję, powiedział Lipner.

"Wierzymy, że będą udowadniać, że są świetnym źródłem informacji dla organizacji spoza Microsoft, które chcą iść do przodu z SDL, "Lipner powiedział.

Większość oprogramowania firm trzecich nie jest napisane przy użyciu najnowocześniejszych praktyk bezpieczeństwa, powiedział Jan Muenther, [cq] CTO z członkiem SDL Pro Network n.runs. "Podczas gdy sam Microsoft wkłada wiele wysiłku w zabezpieczanie własnego kodu, czasami kod, który otrzymują od stron trzecich, nie odpowiada temu samemu poziomowi jakości" - powiedział.

Muenther uważa, że ​​te nowe programy SDL nie mogły tylko podnieść jakość kodu partnerów Microsoft, ale może również zwrócić uwagę na własne praktyki bezpieczeństwa firmy Microsoft. "Chcą nieco rozpowszechnić słowo", powiedział.

Robert McMillan z San Francisco przyczynił się do powstania tej historii.