Microsoft выпускает средства внутренней безопасности, методы

Microsoft скоро выпустит инструменты и методы, которые она использовала в течение последних нескольких лет, чтобы уменьшить количество проблем безопасности в своем программном обеспечении.

Microsoft начала серьезно относиться к безопасности в 2001 году. Проблемы с кодированием в ее программном обеспечении открыли дверь к интенсивной новой волне вредоносных червей или самораспространяющимся программам, которые разбивали серверы электронной почты, создавали бот-сети и похищали пароли пользователей, нанося значительный ущерб предприятиям.

В ответ Билл Гейтс запустил Инициативу надежных вычислений в начале 2002 года Два года спустя компания разработала то, что она называет жизненным циклом развития безопасности (SDL), или ее процессы, чтобы гарантировать, что он пишет код с почти пуленепробиваемым кодом.

Использование SDL уменьшило количество уязвимостей безопасности сказал в своем выступлении Стив Липнер (Steve Lipner), старший директор по стратегии безопасности для Microsoft Trustworthy Computing Group.

Расширение SDL до ISV (например, независимые поставщики программного обеспечения) и другие разработчики для предприятий, таких как банки, укрепляют уверенность в Microsoft и программное обеспечение, предназначенное для Windows, сказал Липнер.

«Если кто-то использует стороннее приложение на платформе Microsoft, они по-прежнему являются Microsoft клиент », - сказал Липнер. «Мы хотим, чтобы их компьютерный опыт был безопасным и безопасным».

Два из этих инструментов бесплатны. Модель оптимизации SDL представляет собой вопросник и контрольный список, в котором оценивается практика развития безопасности организации. В нем рассматривается, как компания реагирует на новые предупреждения и исправления безопасности, а также такие проблемы, как обучение и моделирование угроз.

Microsoft предложит модель оптимизации SDL для загрузки на своей веб-странице SDL в ноябре.

«Мы считаем, что это станет отличным ресурсом для людей, которые хотят попасть в SDL и должны выяснить, как они начинаются », - сказала Липнер.

Другая халява - это приложение под названием SDL Threat Modeling Tool 3.0, которое поможет программному обеспечению архитекторов, которые не разбираются в безопасности, чтобы выявить потенциальные проблемы безопасности в программном обеспечении, которое они разрабатывают.

«Если вы разработчик, рассказывая вам такие вещи, как« Подумайте, как нападавший », это не помогает», - сказал Адам Шостак, старший менеджер программ для группы жизненного цикла разработки безопасности.

Приложение позволяет архитекторам архитекторов программного обеспечения, таким как потоки данных. Microsoft закодирована в правилах программы, которые инженеры безопасности будут соблюдать при работе с программным обеспечением. По словам Шостака, пользователи инструмента моделирования угроз получают мгновенную обратную связь. Microsoft разместит этот инструмент в центре загрузки Microsoft Developer Network в ноябре.

Последний компонент - это создание группы компаний, которые могут консультировать другие компании на SDL. Сеть SDL Pro - это группа из девяти поставщиков услуг безопасности, консультантов и учебных компаний.

Сеть может консультировать независимых поставщиков программного обеспечения и предприятия о способах тестирования собственного встроенного программного обеспечения для проблем с кодированием. По словам Липнера, SDL Pro Network начнет пилотную фазу в ноябре. Липнер сказал: «Мы считаем, что они станут отличным ресурсом для организаций за пределами Microsoft, которые хотят продвинуться вперед с помощью SDL, - сказал Липнер.

Большинство сторонних программ для Windows не написано с использованием самых современных методов безопасности, сказал Ян Мюнхер, [cq] CTO с членом сети SDL Pro Network n.runs. «В то время как сами Microsoft прилагают много усилий для обеспечения собственного кода, иногда код, который они получают от третьих сторон, не соответствует одному и тому же уровню качества», - сказал он.

Muenther полагает, что эти новые программы SDL не могли только повышают качество кода партнеров Microsoft, но также могут обратить внимание на собственные методы безопасности Microsoft. «Они хотят немного рассказать об этом», - сказал он.

Роберт Макмиллан в Сан-Франциско внес свой вклад в эту историю.