מיקרוסופט לעיתונות כלי אבטחה פנימיים, שיטות

מיקרוסופט תפרסם בקרוב כלים ושיטות שבהן השתמשה במהלך השנים האחרונות כדי לצמצם את מספר בעיות האבטחה בתוכנה שלה.

מיקרוסופט החלה להתייחס ברצינות לביטחון בשנת 2001. בעיות הקידוד בתוכנה פתחו את הדלת על גל חדש של תולעים זדוניות, או תוכניות הפצה עצמית שרסקו שרתי דואר אלקטרוני, יצרו רשתות בוטניות וגנבו סיסמאות משתמש וגרמו לנזק יקר לעסקים.

בתגובה, השיק ביל גייטס את יוזמת המחשוב האמינה בתחילת 2002.שנתיים לאחר מכן חידשה החברה את מה שהיא מכנה מחזור החיים של פיתוח האבטחה (SDL), או את התהליכים שלה כדי לוודא שהיא כותבת קוד כמעט בטוח.

השימוש ב- SDL הפחית את מספר הפגיעויות האבטחה על מערכת ההפעלה Windows Vista ו- SQL Server, אחת מתוכניות מסד הנתונים שלה, בהשוואה לגרסאות ישנות יותר של התוכנה, אמר סטיב ליפנר, מנהל בכיר של אסטרטגיית הנדסת האבטחה עבור קבוצת המיחשוב המהימנה של מיקרוסופט.

הרחבת ה- SDL ל- ISV (יצרני תוכנה עצמאיים) ומפתחים אחרים לארגונים, כמו בנקים, מחזקים את האמון בתוכנות מיקרוסופט ובתוכנה עבור Windows, אמר ליפנר. "אם מישהו משתמש ביישום של צד שלישי בפלטפורמת מיקרוסופט, הם עדיין מיקרוסופט הלקוח, "אמר ליפנר. "אנחנו רוצים שחווית המחשוב שלהם תהיה בטוחה ומאובטחת". מודל האופטימיזציה של SDL הוא שאלון ורשימת תיוג המעריכה את שיטות הפיתוח של הארגון. הוא מתבונן כיצד החברה מגיבה על התראות אבטחה חדשות ועל תיקונים, ועל בעיות כגון אימונים ואימוץ מודלים.

מיקרוסופט תציע את מודל האופטימיזציה של SDL להורדה באתר ה- SDL שלה בנובמבר.

"אנחנו חושבים שזה הולך להיות משאב נהדר עבור אנשים שרוצים להיכנס SDL ואת צריכה להבין איך הם מתחילים, "אמר Lipner.

freebie השני הוא יישום שנקרא SDL איום כלי דוגמנות 3.0, אשר יסייע תוכנה "אם אתה מפתח, אומר לך דברים כמו 'תחשוב כמו תוקף' זה לא עוזר", אומר אדם שוסטק, מנהל תוכנית בכיר של צוות מחזור פיתוח אבטחה.

היישום מאפשר אדריכלי תוכנה תרשים היבטים כגון זרימת נתונים. מיקרוסופט קידמה את כללי התוכנית שמהנדסי אבטחה יעקבו אחרי העבודה עם התוכנה. משתמשים של כלי איום דוגמנות לקבל משוב מיידי, אמר Shostack. מיקרוסופט תשים את הכלי במרכז ההורדות של Microsoft Developer Network בחודש נובמבר.

הרכיב האחרון הוא יצירת קבוצה של חברות שיכולות לייעץ לחברות אחרות ב- SDL. רשת ה- SDL Pro היא קבוצה של תשעה ספקי שירותי אבטחה, יועצים וחברות הדרכה.

הרשת יכולה לייעץ למפתחי תוכן עצמאיים ולארגונים על דרכים לבחון את התוכנה המפותחת שלהם לבעיות קידוד. רשת ה- SDL Pro תתחיל בשלב ניסיוני בנובמבר, אמר ליפנר. חברות אלו יקבלו תשלום באמצעות עמלת ייעוץ קלאסי או הצעת חוק על ידי שירות מנוי, אמר ליפנר. "אנחנו מאמינים שהם הולכים להוכיח להיות משאב נהדר עבור ארגונים מחוץ למיקרוסופט שרוצים להתקדם עם SDL, אמר ליפנר. "רוב תוכנות צד שלישי של Windows לא נכתב באמצעות המדינה- of-the-art נוהלי אבטחה אמר יאן Muenther, [cq] CTO עם SDL Pro רשת חבר n.runs. "בעוד שמיקרוסופט עצמה שמה מאמץ רב לאבטח את הקוד שלהם, לפעמים הקוד שהם מקבלים מצדדים שלישיים אינו תואם לאותה רמת איכות", הוא אומר.

Muenther סבור שתוכניות SDL חדשות אלו לא יכלו רק להגביר את האיכות של קוד השותפים של מיקרוסופט, אבל זה יכול גם למשוך קצת תשומת לב גם את האבטחה של מיקרוסופט עצמה. "הם רוצים להפיץ קצת את המלה, "אמררוברט מקמילן בסן פרנסיסקו תרם לסיפור הזה