Microsoft, İç Güvenlik Araçlarını, Yöntemlerini

Microsoft yakında yazılımlarında güvenlik sorunlarının sayısını azaltmak için son yıllarda kullandığı araç ve yöntemleri piyasaya sürecek.

Microsoft, güvenlik konusunda 2001 yılında ciddi bir şekilde çalışmaya başladı. Yazılımında kodlama sorunları kapıyı açtı Kötü niyetli solucanların yoğun bir dalgası veya e-posta sunucularını çökerten, kendilerine yayılan ve botları oluşturup kullanıcı parolalarını çaldıran ve bu da işletmelere maliyetli zararlar veren programlara.

Buna karşılık olarak, Bill Gates 2002'nin başlarında Güvenilir Bilgi İşlem Girişimi'ni başlattı. İki yıl sonra şirket Güvenlik Geliştirme Yaşam Döngüsünü (SDL) veya süreçlerini kurşun geçirmez bir kod yazdığından emin olmak için geliştirdi.

SDL kullanımı güvenlik açıklarını azalttı. Windows Vista işletim sistemindeki ilimler ve yazılımın eski sürümleriyle karşılaştırıldığında veritabanı programlarından biri olan SQL Server, Microsoft'un Güvenilir Bilgi İşlem Grubu'nun güvenlik mühendisliği stratejisinin kıdemli direktörü Steve Lipner'ı açıkladı.

SDL'yi ISV'ye genişletiyor. bağımsız yazılım satıcıları ve bankalar gibi kurumlar için diğer geliştiriciler Microsoft'a ve Windows için tasarlanan yazılımlara olan güveni güçlendirir. ”

" Birisi Microsoft platformunda bir üçüncü taraf uygulaması kullanıyorsa, hala Microsoft müşteri, "dedi Lipner. "Bilgisayar deneyimlerinin güvenli ve güvenli olmasını istiyoruz."

Araçlardan ikisi özgür. SDL Optimizasyon Modeli, bir kurumun güvenlik geliştirme uygulamalarını değerlendiren bir anket ve kontrol listesidir. Bir şirketin yeni güvenlik uyarılarına ve yamalarına ve eğitim ve tehdit modellemesi gibi konulara nasıl tepki verdiğini inceliyor.

Microsoft, Kasım ayında SDL Web sayfasında SDL Optimizasyon Modeli'ni indirecek.

"Bizce SDL'ye girmek isteyen insanlar için harika bir kaynak olacak ve nasıl başlayacağını anlamaya ihtiyaç duyuyorlar. "

Diğer freebie, yazılımlara yardımcı olacak SDL Tehdit Modelleme Aracı 3.0 adlı bir uygulamadır Güvenlik konusunda deneyimli olmayan mimarlar, tasarladıkları yazılımlardaki potansiyel güvenlik sorunlarını tespit etmek için tasarlandılar.

"Eğer bir geliştiriciyseniz, 'Bir saldırgan gibi düşünün' size yardım etmiyor," dedi Adam Shostack, Güvenlik Geliştirme Yaşam Döngüsü Takımı için üst düzey program yöneticisi.

Uygulama, yazılım mimarlarının veri akışları gibi yönlerini çizebilmelerini sağlar. Microsoft, güvenlik mühendislerinin yazılımla çalışırken izleyeceği program kurallarını kodlamıştır. Shostack, Tehdit Modelleme Aracı kullanıcılarının anında geri bildirim aldıklarını söyledi. Microsoft, bu aracı Kasım ayında Microsoft Geliştirici Ağı indirme merkezine koyacaktır.

Son bileşen, SDL'deki diğer şirketlere danışmanlık yapabilecek bir şirketler grubunun oluşturulmasıdır. SDL Pro Ağı, dokuz güvenlik hizmeti sağlayıcıları, danışmanları ve eğitim şirketlerinden oluşan bir gruptur.

Ağ, ISV'leri ve işletmelere kodlama sorunları için kendi dahili olarak geliştirilmiş yazılımlarını test etme yolları konusunda tavsiyede bulunabilir. Lipner, SDL Pro Ağı'nın Kasım ayında bir pilot aşamaya başlayacağını söyledi. Bu şirketler, klasik bir danışmanlık ücreti veya bir abonelik servisi tarafından faturalandırma yoluyla ödeme yapacaklar, dedi. "

" Microsoft dışındaki kuruluşlar için SDL ile ilerlemek isteyen kuruluşlar için harika bir kaynak olduğunu ispatlayacağız., "Lipner dedi.

Çoğu üçüncü taraf Windows yazılımı, en son teknoloji güvenlik uygulamaları kullanılarak yazılmadı, diyor Jan Muenther, [cq] CTO Pro Network üyesi n.runs ile CTO. “Microsoft, kendi kodlarını güvence altına almak için çok çaba harcıyor olsa da, bazen üçüncü taraflardan aldıkları kod aynı kalite düzeyiyle uyuşmuyor” dedi.

Muenther, bu yeni SDL programlarının, bu yeni SDL programlarının olamayacağına inanıyor. Sadece Microsoft'un ortaklarının kodunun kalitesini artırın, ancak Microsoft'un kendi güvenlik uygulamalarına da dikkat çekebilirsiniz. "Kelimeyi biraz yaymak istiyorlar," dedi.

San Francisco'daki Robert McMillan bu hikayeye katkıda bulundu.