Microsoft udgiver interne sikkerhedsværktøjer, metoder

Microsoft frigiver snart værktøjer og metoder, som den har brugt i løbet af de sidste par år, for at reducere antallet af sikkerhedsproblemer i softwaren.

Microsoft begyndte at tage sikkerhed alvorligt omkring 2001. Kodeproblemer i softwaren åbnede døren til en intens ny bølge af ondsindede orme eller selvudbredende programmer, der styrtede e-mail-servere, lavede botnets og stjal brugeradgangskoder og forårsagede dyre skader på virksomhederne.

Som svar herpå lancerede Bill Gates Trustworthy Computing Initiative i begyndelsen af ​​2002. To år senere havde virksomheden forfinet, hvad det kalder SDL (Security Development Lifecycle) eller dets processer for at sikre, at den skriver nær-skudtæt kode.

Brug af SDL har reduceret antallet af sikkerhedsproblemer iliteter i sit Windows Vista-operativsystem og SQL Server, et af dets databaseprogrammer, sammenlignet med ældre versioner af softwaren, sagde Steve Lipner, senior direktør for sikkerhedsteknisk strategi for Microsofts troværdige computergruppe.

Udvidelse af SDL til ISV (uafhængige softwareleverandører) og andre udviklere til virksomheder, såsom banker, styrker tilliden til Microsoft og software designet til Windows, siger Lipner.

"Hvis nogen bruger en tredjepartsapplikation på Microsoft-platformen, er de stadig Microsoft kunde ", sagde Lipner. "Vi ønsker, at deres computeroplevelse skal være sikker og sikker."

To af værktøjerne er gratis. SDL Optimeringsmodellen er et spørgeskema og en tjekliste, der evaluerer en organisations sikkerhedsudviklingspraksis. Det ser på, hvordan et firma reagerer på nye sikkerhedsadvarsler og patches og spørgsmål som uddannelse og trusselmodellering.

Microsoft tilbyder SDL-optimeringsmodellen til download på sin SDL-webside i november.

"Vi synes det er vil være en stor ressource for folk, der ønsker at komme ind i SDL og skal finde ud af, hvordan de kommer i gang, "siger Lipner.

Den anden freebie er et program kaldet SDL Threat Modeling Tool 3.0, som hjælper software arkitekter, der ikke er fortrolige med sikkerhed for at finde potentielle sikkerhedsproblemer i den software, de designer.

"Hvis du er en udvikler, fortæller du, at ting som" Tænk som en angriber "ikke hjælper," sagde Adam Shostack, senior programleder for Security Development Lifecycle Team.

Programmet lader softwarearkitekter skitsaspekter såsom datastrømme. Microsoft har kodet ind i de programregler, som sikkerhedsingeniører ville følge, når de arbejder med software. Brugere af Threat Modeling Tool få øjeblikkelig feedback, sagde Shostack. Microsoft vil lægge værktøjet på sit Microsoft Developer Network downloadcenter i november.

Den sidste komponent er dannelsen af ​​en gruppe af virksomheder, der kan rådgive andre virksomheder på SDL. SDL Pro Network er en gruppe af ni sikkerhedstjenesteudbydere, konsulentfirmaer og træningsvirksomheder.

Netværket kan rådgive ISV'er og virksomheder om måder at teste deres egen internt udviklede software til kodingsproblemer. SDL Pro Network vil starte en pilotfase i november, sagde Lipner. Disse virksomheder vil blive betalt gennem enten et klassisk rådgivningsgebyr eller en regning ved en abonnementstjeneste, siger Lipner.

"Vi tror, ​​at de vil vise sig at være en stor ressource for organisationer uden for Microsoft, der ønsker at gå videre med SDL, "Siger Lipner.

De fleste tredjeparts Windows-software er ikke skrevet ved hjælp af state of the art sikkerhedspraksis, sagde Jan Muenther, [cq] CTO med SDL Pro Network member n.runs. "Selvom Microsoft selv har gjort en stor indsats for at sikre deres egen kode, kan den kode, de får fra tredjeparter, ikke matche det samme kvalitetsniveau," sagde han.

Muenther mener, at disse nye SDL-programmer ikke kunne kun øge kvaliteten af ​​Microsofts partnere kode, men det kan også gøre opmærksom på Microsofts egen sikkerhedspraksis også. "De vil sprede ordet lidt," sagde han.

Robert McMillan i San Francisco bidrog til denne historie.