Společnost Microsoft vydává nástroje a metody vnitřní bezpečnosti

Společnost Microsoft brzy uvolní nástroje a metody, které použila v posledních několika letech, aby snížila počet bezpečnostních problémů ve svém softwaru.

Společnost Microsoft začala brát bezpečnost vážně kolem roku 2001. Kódující problémy v jeho softwaru otevřely dveře na intenzivní novou vlnu škodlivých červů nebo na samospouštění programů, které narazily na e-mailové servery, vytvořily botnety a ukradly uživatelská hesla a způsobily nákladné škody podnikům.

V reakci na to Bill Gates zahájil iniciativu Trustworthy Computing na začátku roku 2002. O dva roky později společnost vylepšila, co nazývá SDL (Life Development Lifecycle) nebo její procesy, aby zajistila, že zapíše téměř neprůhledný kód.

Použití SDL snížilo počet bezpečnostních vulnerabil a to v jeho operačním systému Windows Vista a v SQL Serveru, který je jedním z jeho databázových programů, ve srovnání se staršími verzemi softwaru, uvedl Steve Lipner, senior ředitel pro bezpečnostní inženýrskou strategii pro společnost Microsoft Trustworthy Computing Group

Rozšíření SDL na ISV nezávislí dodavatelé softwaru) a další vývojáři pro podniky, jako jsou banky, posilují důvěru v Microsoft a software navržený pro Windows, uvedl Lipner.

"Pokud někdo používá aplikaci třetí strany na platformě Microsoft, jsou stále Microsoft zákazník, "řekl Lipner. "Chceme, aby jejich počítačové zážitky byly bezpečné a bezpečné."

Dva nástroje jsou zdarma. Model optimalizace SDL je dotazník a kontrolní seznam, který vyhodnocuje postupy vývoje zabezpečení organizace. Vypadá to, jak společnost reaguje na nové bezpečnostní výstrahy a opravy a na otázky, jako jsou školení a modelování ohrožení.

Společnost Microsoft nabídne model SDL Optimalization Model ke stažení na své webové stránce SDL v listopadu. bude to skvělý zdroj pro lidi, kteří se chtějí dostat do SDL a potřebují zjistit, jak začnou, "říká Lipner.

Další freebie je aplikace nazvaná SDL Threat Modeling Tool 3.0, která pomůže softwaru architekti, kteří nemají zkušenosti s bezpečností, aby zjistili potenciální bezpečnostní problémy v navrhovaném softwaru

"Pokud jste vývojář, řeknete vám věci jako" Myslete jako útočník "nepomáhá," řekl Adam Shostack, senior program manager pro vývojový tým životního cyklu vývoje zabezpečení

Aplikace umožňuje diagramům architektů diagram, jako jsou toky dat. Společnost Microsoft zakódovala pravidla programu, která by bezpečnostní inženýři sledovali při práci se softwarem. Uživatelé nástroje Threat Modeling získávají okamžitou zpětnou vazbu, řekl Shostack. Společnost Microsoft uvede tento nástroj do svého střediska pro stahování Microsoft Developer Network v listopadu.

Poslední součástí je vytvoření skupiny společností, které mohou poradit ostatním společnostem na SDL. SDL Pro Network je skupina devíti poskytovatelů bezpečnostních služeb, konzultantů a školicích firem.

Síť může poradit ISV a podnikům o způsobech, jak testovat svůj vlastní interně vyvinutý software pro problémy s kódováním. Projekt SDL Pro Network začne pilotní fázi v listopadu, řekl Lipner. Tyto společnosti budou zaplaceny prostřednictvím klasického poradenského poplatku nebo předplatného službou, uvedl Lipner.

"Věříme, že se stanou skvělým zdrojem pro organizace mimo společnost Microsoft, které chtějí pokročit s SDL, "Uvedl Lipner.

Většina softwaru třetích stran Windows není napsána pomocí nejmodernějších bezpečnostních postupů, jak řekl Jan Muenther, [CQ] CTO členem SDL Pro Network n.runs. "Zatímco Microsoft sami vynakládá mnoho úsilí na zajištění vlastního kódu, někdy kód, který získávají od třetích stran, neodpovídá stejné úrovni kvality," uvedl.

Muenther se domnívá, že tyto nové programy SDL nemohly pouze zdokonalit kvalitu kódu partnerů společnosti Microsoft, ale také by se mohla věnovat pozornost vlastním bezpečnostním praktikám Microsoftu. "Chtějí trochu šířit slovo," řekl.

Robert McMillan v San Francisku přispěl k tomuto příběhu.