Вернуться на все новости от 22 сентября 2008 г.
В ближайшее время Microsoft представит инструменты и подходы, используемые в течение последних нескольких лет внутри самой корпорации в ходе разработки продуктов с целью уменьшения числа проблем с безопасностью.
Microsoft всерьез озаботилась вопросом безопасного ПО еще в 2001 году, а в начале 2002 года Билл Гейтс представил инициативу надежных вычислений (Trustworthy Computing Initiative). Ведь проблемное, «дырявое» ПО - по сути, открытая дверь для разрушительных атак червей или самораспространяющихся программ, выводящих из строя почтовые серверы, создающих сети зомби-компьютеров, ворующих пароли и приносящих в итоге дорогостоящие убытки бизнесу.
В рамках начатой в 2004 году стратегии SDL (Security Development Lifecycle, цикл разработки ПО с учетом безопасности) разрабатывались Windows Vista и Windows Server 2008, что позволило достичь ощутимых результатов по снижению числа уязвимостей, сообщил Стив Липнер, старший директор по стратегии безопасной разработки в Microsoft’s Trustworthy Computing Group. Использование методики SDL сторонними поставщиками ПО для платформы Windows позволит увеличить доверие к их продукции, добавляет Липнер.
Среди ключевых элементов методики SDL - приемы сокращения и измерения площади атаки, а также руководство по решению проблем, связанных с использованием пониженного уровня привилегий.
В ноябре выйдет бесплатное средство SDL Optimization Model для опроса и анкетирования в рамках практики безопасной разработки, позволяющее оценить то, как компания реагирует и какие ответные действия принимает при поступлении тревожных сигналов и выходе исправлений. Также бесплатно в ноябре будет предложен инструмент SDL Threat Modeling Tool 3.0, позволяющий выявлять потенциально небезопасные участки теми проектировщиками ПО, которые не владеют технологиями безопасности досконально.
Наконец, Microsoft сформирует SDL Pro Network, объединение девяти компаний (провайдеров услуг безопасности, консультирующих организаций и обучающих структур), которые смогут взаимодействовать с поставщиками ПО и корпорациями по вопросам разработки безопасного ПО. Пилотный запуск SDL Pro Network намечен на ноябрь. Предполагается коммерциализация проекта за счет либо оплаты консультаций, либо платной подписки на услуги.
