Microsoft rilascia strumenti di sicurezza interna, metodi

Microsoft rilascerà presto strumenti e metodi che ha utilizzato negli ultimi anni per ridurre il numero di problemi di sicurezza nel suo software.

Microsoft iniziò a prendere sul serio la sicurezza intorno al 2001. I problemi di codifica nel suo software aprirono la porta a un'intensa nuova ondata di worm dannosi o programmi auto-propaganti che hanno bloccato i server di posta elettronica, creato botnet e rubato le password degli utenti, causando danni costosi alle aziende.

In risposta, Bill Gates ha lanciato l'iniziativa Trustworthy Computing all'inizio del 2002 Due anni dopo l'azienda ha perfezionato quello che chiama Security Development Lifecycle (SDL) o i suoi processi per garantire che scriva codice quasi antiproiettile.

L'uso di SDL ha ridotto il numero di vulnerabilità di sicurezza Il sistema operativo Windows Vista e SQL Server, uno dei suoi programmi database, rispetto alle versioni precedenti del software, ha dichiarato Steve Lipner, direttore senior della strategia di ingegneria della sicurezza per il Trustworthy Computing Group di Microsoft.

Estensione dell'SDL all'ISV (i produttori di software indipendenti) e altri sviluppatori per le imprese, come le banche, rafforzano la fiducia in Microsoft e il software progettato per Windows, ha detto Lipner.

"Se qualcuno utilizza un'applicazione di terze parti sulla piattaforma Microsoft, sono ancora una Microsoft cliente ", ha detto Lipner. "Vogliamo che la loro esperienza informatica sia al sicuro e protetta."

Due degli strumenti sono gratuiti. Il modello di ottimizzazione SDL è un questionario e una lista di controllo che valuta le pratiche di sviluppo della sicurezza di un'organizzazione. Guarda come una società risponde ai nuovi avvisi e patch di sicurezza e problemi come la formazione e la modellazione delle minacce.

Microsoft offrirà il modello di ottimizzazione SDL per il download nella sua pagina Web SDL a novembre.

"Pensiamo che sia sarà una grande risorsa per le persone che vogliono entrare nell'SDL e devono capire come iniziare ", ha detto Lipner.

L'altro freebie è un'applicazione chiamata SDL Threat Modeling Tool 3.0, che aiuterà il software architetti che non sono esperti in sicurezza per individuare potenziali problemi di sicurezza nel software che stanno progettando.

"Se sei uno sviluppatore, dirti cose come 'Pensare come un aggressore' non aiuta", ha detto Adam Shostack, senior program manager per il Security Development Lifecycle Team.

L'applicazione consente agli architetti software di diagrammare aspetti come i flussi di dati. Microsoft ha codificato le regole del programma che gli ingegneri della sicurezza avrebbero seguito lavorando con il software. Gli utenti di Threat Modeling Tool ottengono un feedback immediato, ha detto Shostack. Microsoft metterà lo strumento sul suo centro download Microsoft Developer Network a novembre.

L'ultimo componente è la formazione di un gruppo di aziende che possono consigliare altre società sulla SDL. SDL Pro Network è un gruppo di nove fornitori di servizi di sicurezza, società di consulenza e formazione.

La rete può consigliare ISV e aziende su come testare il proprio software sviluppato internamente per problemi di codifica. La rete SDL Pro inizierà una fase pilota a novembre, ha detto Lipner. Le aziende verranno pagate tramite una classica tariffa di consulenza o fattura tramite un servizio di abbonamento, ha affermato Lipner.

"Riteniamo che si dimostreranno una grande risorsa per le organizzazioni esterne a Microsoft che desiderano andare avanti con la SDL ", Ha detto Lipner.

La maggior parte dei software Windows di terze parti non è stata scritta utilizzando pratiche di sicurezza all'avanguardia, come Jan Muenther, [cq] CTO con i membri della rete SDL Pro n.runs. "Mentre la stessa Microsoft sta mettendo un sacco di sforzi per proteggere il proprio codice, a volte il codice che ricevono da terze parti non corrisponde allo stesso livello di qualità", ha detto.

Muenther ritiene che questi nuovi programmi SDL non potrebbero solo rafforzare la qualità del codice dei partner di Microsoft, ma potrebbe anche attirare l'attenzione sulle stesse pratiche di sicurezza di Microsoft. "Vogliono diffondere un po 'la parola", ha detto.

Robert McMillan a San Francisco ha contribuito a questa storia.