Microsoft julkistaa sisäiset suojaustyökalut, menetelmät

Microsoft julkaisee pian viime vuosina käytetyt työkalut ja menetelmät vähentääkseen ohjelmistojensa turvallisuusongelmia.

Microsoft alkoi ottaa turvallisuutta vakavasti vuoden 2001 aikana. Ohjelmiston koodausongelmat avasivat oven Aivan uusi haavoittuvien matojen aalto tai omatoimiset ohjelmat, jotka rikkoivat sähköpostipalvelimia, luoneet botnet-verkon ja varastivat käyttäjän salasanat aiheuttaen kalliita vahinkoja yrityksille.

Vastauksena Bill Gates käynnisti Trustworthy Computing -aloitteen vuoden 2002 alussa Kaksi vuotta myöhemmin yritys oli hienostanut sitä, mitä se kutsuu Security Development Lifecycle (SDL) tai sen prosessit sen varmistamiseksi, että se kirjoittaa läheltä luodinkestävää koodia.

SDL: n käyttö on vähentänyt tietoturvahaavoittuvuutta

SDL: n laajentaminen ISV: hen ()

"Jos joku käyttää kolmannen osapuolen sovellusta Microsoft-alustalla, he ovat edelleen Microsoftia asiakas ", Lipner sanoi. "Haluamme niiden tietojenkäsittelykokemuksen olevan turvallista ja turvallista."

Kaksi työkalusta on ilmaisia. SDL-optimointimalli on kyselylomake ja tarkistuslista, jotka arvioivat organisaation tietoturvan kehittämiskäytäntöjä.

Microsoft tarjoaa SDL-optimointimallin ladattavaksi SDL-verkkosivustolleen marraskuussa.

"Mielestämme tämä tarkoittaa sitä, että yritys reagoi uusiin tietoturvahälytyksiin ja korjaustietoihin sekä sellaisiin ongelmiin kuin koulutus- ja uhkamallinnus. joka tulee olemaan suuri resurssi ihmisille, jotka haluavat päästä SDL: ään, ja täytyy selvittää, miten ne alkavat ", Lipner sanoi.

Toinen freebie on sovellus nimeltä SDL Threat Modeling Tool 3.0, joka auttaa ohjelmistoa arkkitehdit, jotka eivät tunne turvallisuutta havaitsemaan mahdollisia tietoturva-asioita ohjelmistossaan.

"Jos olet kehittäjä, kertoo sinulle sellaisia ​​asioita kuin" Ajattele, että hyökkääjä ei auta ", sanoi Adam Shostack, Sovellus antaa ohjelmistojen arkkitehtien kaavion näkökohdat, kuten tietovirrat. Microsoft on koodattu ohjelmasääntöihin, joita turvallisuusinsinöörit noudattaisivat ohjelmiston kanssa. Threat Modeling Tool -työkalun käyttäjät saavat välittömän palautteen, Shostack sanoi. Microsoft laittaa työkalun Microsoft Developer Network -latauskeskukseen marraskuussa.

Viimeinen osa on sellaisen yrityksen ryhmän muodostuminen, joka voi neuvoa muita yrityksiä SDL: ssä. SDL Pro -verkko on yhdeksän tietoturvapalvelujen tarjoajaa, konsulttiyritystä ja koulutusyrityksiä.

Verkko voi neuvoa ISV: itä ja yrityksiä tapoja testata omia sisäisesti kehitettyjä ohjelmiaan ongelmien koodaamiseksi. SDL Pro -verkko aloittaa pilottivaiheen marraskuussa, Lipner sanoi. Nämä yritykset maksetaan joko perinteisen konsultointimaksun tai laskun kautta tilauspalvelun kautta, Lipner sanoi.

"Uskomme, että ne osoittautuvat suuriksi resursseiksi Microsoftin ulkopuolisille organisaatioille, jotka haluavat edetä SDL: n, "Lipner sanoi.

Useimmat kolmansien osapuolten Windows-ohjelmistot eivät ole kirjoitettu huipputason tietoturvakäytännöissä, sanoo Jan Muenther, [cq] CTO SDL Pro Networkin jäsenen n.runs. "Vaikka Microsoft itse on panostanut voimakkaasti oman koodinsa varmistamiseen, toisinaan kolmansien osapuolten antamat koodit eivät vastaa samaa laatutasoa", hän sanoi.

Muenther uskoo, että nämä uudet SDL-ohjelmat eivät voineet vain tehostaa Microsoftin kumppaneiden koodin laatua, mutta se voi myös kiinnittää huomiota Microsoftin omiin tietoturvakäytäntöihin. "He haluavat levittää sanaakaan", hän sanoi.

Robert McMillan San Franciscossa osallistui tähän tarinaan.