Siaran Microsoft Alat Keselamatan Dalam Negeri, Kaedah

Microsoft akan melepaskan alat dan kaedah yang telah digunakan dalam beberapa tahun kebelakangan ini untuk mengurangkan bilangan masalah keselamatan dalam perisiannya.

Microsoft mula mengambil perhatian serius pada tahun 2001. Masalah pengkodan dalam perisiannya membuka pintu kepada gelombang baru cacing berniat jahat, atau program penyebaran sendiri yang merosakkan pelayan e-mel, membuat botnet dan mencuri kata laluan pengguna, menyebabkan kerosakan yang mahal kepada perniagaan.

Sebagai tindak balas, Bill Gates melancarkan Inisiatif Pengkomputeran yang Boleh Dipercayai pada awal tahun 2002 Dua tahun kemudian, syarikat itu telah menyempurnakan apa yang disebut sebagai Cakera Kemajuan Pembangunan Keselamatan (SDL), atau prosesnya untuk memastikan ia menulis kod-kod peluru dekat.

Penggunaan SDL telah mengurangkan bilangan kelemahan keselamatan ilities dalam sistem operasi Windows Vista dan SQL Server, salah satu daripada program pangkalan datanya, berbanding dengan versi lama perisian, kata Steve Lipner, pengarah kanan strategi kejuruteraan keselamatan untuk Kumpulan Pengkomputeran Terpercaya Microsoft.

Memperluas SDL ke ISV pembekal perisian bebas) dan pemaju lain untuk perusahaan, seperti bank, mengukuhkan keyakinan terhadap Microsoft dan perisian yang direka untuk Windows, kata Lipner.

"Jika seseorang menggunakan aplikasi pihak ketiga di platform Microsoft, mereka masih merupakan Microsoft pelanggan, "kata Lipner. "Kami mahu pengalaman pengkomputeran mereka menjadi selamat dan terjamin."

Dua alat itu adalah percuma. Model Pengoptimuman SDL adalah soal selidik dan senarai semak yang menilai amalan pembangunan keselamatan organisasi.

Microsoft akan menawarkan Model Pengoptimuman SDL untuk dimuat turun di laman web SDLnya pada bulan November.

"Kami fikir itu akan menjadi sumber yang hebat untuk orang-orang yang ingin masuk ke dalam SDL dan perlu mengetahui cara mereka memulakannya, "ujar Lipner.

Freebie lain adalah aplikasi yang disebut SDL Threat Modeling Tool 3.0, yang akan membantu perisian

"Jika anda seorang pemaju, memberitahu anda perkara seperti 'Berfikir seperti penyerang' tidak membantu," kata Adam Shostack, pengurus program kanan untuk Pasukan Siklus Hidup Pembangunan Keselamatan.

Aplikasi ini membolehkan arkitek perisian aspek rajah seperti aliran data. Microsoft telah mengkodkan ke dalam peraturan program yang akan diikuti oleh jurutera keselamatan ketika bekerja dengan perisian. Pengguna Alat Pemodelan Ancaman mendapat maklum balas segera, kata Shostack. Microsoft akan meletakkan alat pada pusat muat turun Rangkaian Pembangun Microsoft pada bulan November.

Komponen terakhir adalah pembentukan sekumpulan syarikat yang boleh menasihati syarikat lain di SDL. Rangkaian SDL Pro adalah sekumpulan sembilan penyedia perkhidmatan keselamatan, perundingan dan syarikat latihan.

Rangkaian ini boleh menasihati ISV dan perusahaan mengenai cara-cara untuk menguji perisian mereka sendiri yang dibangunkan untuk masalah pengkodan. Rangkaian SDL Pro akan memulakan fasa percubaan pada bulan November, kata Lipner. Syarikat-syarikat tersebut akan dibayar melalui sama ada yuran perundingan klasik atau bil oleh perkhidmatan langganan, kata Lipner.

"Kami percaya mereka akan membuktikan menjadi sumber yang hebat untuk organisasi di luar Microsoft yang ingin bergerak maju dengan SDL, "Ujar Lipner.

Kebanyakan perisian Windows pihak ketiga tidak ditulis menggunakan amalan keselamatan canggih yang menyatakan Jan Muenther, [cq] CTO dengan n.runs ahli rangkaian SDL Pro. "Walaupun Microsoft sendiri telah berusaha keras untuk mendapatkan kod mereka sendiri, kadangkala kod yang mereka dapatkan dari pihak ketiga tidak sepadan dengan tahap kualiti yang sama," katanya.

Muenther percaya bahawa program SDL baru ini tidak dapat hanya meningkatkan kualiti kod rakan kongsi Microsoft, tetapi juga menarik perhatian terhadap amalan keselamatan Microsoft sendiri. "Mereka mahu menyebarkan perkataan sedikit," katanya.

Robert McMillan di San Francisco menyumbang kepada cerita ini.