Microsoft udgiver sikkerhedsretningslinjer for Agile

Microsoft offentliggør tirsdag retningslinjer for udviklere, der bygger onlineapplikationer og for dem, der udnytter Agile-kodeudviklingsprocessen.

De agile retningslinjer anvender principper fra Microsofts sikkerhedsudviklingslivscyklus (SDL) til Agile, en paraplybetegnelse for en udviklingsmodel, der ofte anvendes til web-baserede applikationer udgivet inden for korte frister, kaldet "sprints."

Microsoft vedtog SDL efter selskabets løfte i 2002 for at opbygge mere sikker kode efter flere højt profilerede orme og anden ondsindet software udgjorde farlige risici for sine kunder.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Men den originale SDL passer ikke til Agile-processen. Agile adskiller sig fra, at udviklere har en bestemt tid til at udvikle bestemte funktioner, hvorefter applikationen straks frigives for at få kundefeedback, sagde sikkerhedsansvarlig for Microsoft, Bryan Sullivan.

SDL var oprindeligt designet til produkter, som f.eks. Windows OS, der ikke er iterative, hvilket betyder, at der ikke er hyppige udgivelser af produktet, der kun tilføjer en funktion eller to. Men alle SDL-kravene er blevet vedtaget for Agile-processen, men implementeret anderledes, sagde Sullivan. Agile bruges af 85 procent af teknologibransjens fagfolk, ifølge Forrester.

Microsoft bryder SDL ned i tre krav: engangsopgaver, engang, der skal gøres for hver sprint og endelig "bucket" -opgaver, som skal gentages periodisk - som hver sjette måned - men ikke for hver sprint, sagde Sullivan. De agile retningslinjer vil være tilgængelige tirsdag på www.microsoft.com.

Microsoft frigiver også et hvidbog om sikkerhed til online webapplikationer. Da disse applikationer i stigende grad interagerer og udveksler information, er sikkerheden af ​​afgørende betydning, siger Steve Lipner, seniorleder for sikkerhedsteknologi hos Microsofts troværdige computergruppe.

Hvidbogen beskriver vigtige sikkerhedsproblemer, som udviklere bør overveje til webapplikationer, siger Lipner. Det diskuterer også sikkerhedsproblemer, som udviklere bør tænke på, når de vælger en hostingudbyder, såsom data og fysisk sikkerhed.