Microsoft เผยแพร่เครื่องมือรักษาความปลอดภัยภายในวิธี

Microsoft จะปล่อยเครื่องมือและวิธีการที่ใช้ในช่วง 2-3 ปีที่ผ่านมาเพื่อลดปัญหาด้านความปลอดภัยในซอฟต์แวร์

ไมโครซอฟท์เริ่มให้ความสำคัญกับระบบรักษาความปลอดภัยอย่างจริงจังในช่วงปี 2544 ปัญหาด้านการเขียนโปรแกรมในซอฟต์แวร์เปิดประตู เป็นคลื่นลูกใหม่ของเวิร์มที่เป็นอันตรายหรือโปรแกรมการเผยแพร่ด้วยตนเองที่ทำให้เซิร์ฟเวอร์อีเมลล้มเหลวสร้าง botnets และขโมยรหัสผ่านของผู้ใช้ซึ่งก่อให้เกิดความเสียหายกับธุรกิจ

ในการตอบสนอง Bill Gates ได้ริเริ่ม Trustworthy Computing Initiative ในต้นปีพศ. สองปีต่อมา บริษัท ได้ปรับปรุงสิ่งที่เรียกว่า Security Lifeline Development (SDL) หรือกระบวนการต่างๆเพื่อให้แน่ใจว่าได้เขียนโค้ดใกล้เคียงกัน

การใช้ SDL ช่วยลดจำนวนช่องโหว่ด้านความปลอดภัย กล่าวโดย Steve Lipner ผู้อำนวยการอาวุโสฝ่ายกลยุทธ์ด้านความปลอดภัยของ Microsoft Trustworthy Computing Group

การขยาย SDL ไปยัง ISV (ผู้จำหน่ายซอฟต์แวร์อิสระ) และนักพัฒนาอื่น ๆ สำหรับองค์กรเช่นธนาคารเพิ่มความมั่นใจใน Microsoft และซอฟต์แวร์ที่ออกแบบมาสำหรับ Windows Lipner กล่าวว่า "ถ้าใครกำลังใช้แอพพลิเคชันอื่นบนแพลตฟอร์ม Microsoft พวกเขายังเป็น Microsoft อยู่ ลูกค้า "Lipner กล่าวว่า "เราต้องการประสบการณ์การใช้คอมพิวเตอร์ของตนให้มีความปลอดภัยและปลอดภัย"

สองเครื่องมือฟรี แบบจำลองการเพิ่มประสิทธิภาพของ SDL คือแบบสอบถามและรายการตรวจสอบที่ประเมินแนวทางการพัฒนาความปลอดภัยขององค์กร ดูว่า บริษัท ตอบสนองต่อการแจ้งเตือนและแพทช์ด้านความปลอดภัยใหม่ ๆ และประเด็นต่างๆเช่นการฝึกอบรมและการสร้างแบบจำลองภัยคุกคาม

Microsoft จะเสนอรูปแบบการเพิ่มประสิทธิภาพ SDL สำหรับการดาวน์โหลดบนเว็บเพจ SDL ในเดือนพฤศจิกายน

"เราคิดว่า จะเป็นแหล่งข้อมูลที่ยอดเยี่ยมสำหรับผู้ที่ต้องการเข้าใช้ SDL และต้องการทราบว่าพวกเขาเริ่มต้นใช้งานอย่างไร "Lipner กล่าวว่า

freebie อื่น ๆ เป็นแอ็พพลิเคชันที่เรียกว่า SDL Threat Modeling Tool 3.0 ซึ่งจะช่วยให้ซอฟต์แวร์ สถาปนิกที่ไม่ได้ใส่ใจในเรื่องความปลอดภัยเพื่อตรวจสอบประเด็นด้านความปลอดภัยที่อาจเกิดขึ้นในซอฟต์แวร์ที่พวกเขากำลังออกแบบไว้ "

" ถ้าคุณเป็นนักพัฒนาซอฟต์แวร์บอกคุณเช่น "Think like the attacker" ไม่ได้ช่วยอะไร "Adam Shostack, ผู้จัดการอาวุโสฝ่ายพัฒนาทีมงานด้านการพัฒนาด้านการรักษาความปลอดภัย

แอพพลิเคชันนี้จะช่วยให้สถาปนิกซอฟต์แวร์สามารถออกแบบด้านต่างๆเช่นการไหลของข้อมูล Microsoft ได้เข้ารหัสเป็นกฎของโปรแกรมที่วิศวกรความปลอดภัยจะปฏิบัติตามเมื่อทำงานกับซอฟต์แวร์ ผู้ใช้เครื่องมือการสร้างแบบจำลองภัยคุกคามได้รับการตอบรับทันที Shostack กล่าว Microsoft จะวางเครื่องมือนี้ไว้ในศูนย์ดาวน์โหลดของ Microsoft Developer Network ในเดือนพฤศจิกายน

องค์ประกอบสุดท้ายคือการจัดตั้งกลุ่ม บริษัท ที่สามารถให้คำแนะนำแก่ บริษัท อื่น ๆ ใน SDL ได้ SDL Pro Network คือกลุ่มผู้ให้บริการด้านความปลอดภัย บริษัท ที่ปรึกษาและ บริษัท ฝึกอบรม 9 แห่งเครือข่ายสามารถให้คำแนะนำแก่ผู้ผลิตซอฟต์แวร์อิสระและองค์กรต่างๆเกี่ยวกับวิธีการทดสอบซอฟต์แวร์ที่พัฒนาขึ้นเองภายในตัวสำหรับปัญหาการเขียนโปรแกรม เครือข่าย SDL Pro จะเริ่มเป็นระยะนำร่องในเดือนพฤศจิกายนนี้ Lipner กล่าว บริษัท เหล่านี้จะได้รับเงินจากค่าที่ปรึกษาหรือเรียกเก็บเงินจากบริการสมัครสมาชิก Lipner กล่าว "เราเชื่อว่าพวกเขากำลังจะพิสูจน์ว่าเป็นแหล่งข้อมูลที่ดีเยี่ยมสำหรับองค์กรนอก Microsoft ที่ต้องการก้าวไปข้างหน้ากับ SDL "Lipner กล่าวว่า

ซอฟท์แวร์ Windows ของบุคคลที่สามส่วนใหญ่ไม่ได้เขียนโดยใช้แนวทางปฏิบัติด้านความปลอดภัยที่ทันสมัยที่สุด Jan Muenther, [cq] CTO กับ SDL Pro Network member n.runs กล่าว "ในขณะที่ไมโครซอฟต์เองก็ได้ทุ่มเทความพยายามในการรักษาความปลอดภัยของรหัสของตนเองบางครั้งรหัสที่พวกเขาได้รับจากบุคคลที่สามไม่ตรงกับระดับคุณภาพเดียวกัน" เขากล่าว "Muenther เชื่อว่าโปรแกรม SDL ใหม่นี้ไม่สามารถทำได้ เพียง แต่เพิ่มคุณภาพของรหัสคู่ค้าของ Microsoft เท่านั้น แต่ยังสามารถให้ความสนใจกับแนวทางการรักษาความปลอดภัยของ Microsoft ด้วยเช่นกัน "พวกเขาต้องการกระจายคำเล็กน้อย" เขากล่าว

Robert McMillan ในซานฟรานซิสโกมีส่วนในเรื่องนี้