Microsoft utgir interne sikkerhetsverktøy, metoder

Microsoft vil snart gi ut verktøy og metoder som den har brukt de siste årene for å redusere antall sikkerhetsproblemer i programvaren.

Microsoft begynte å ta sikkerhet alvorlig rundt 2001. Kodingsproblemer i programvaren åpnet døren til en intens ny bølge av ondsinnede ormer eller selvutbredende programmer som krasjet e-postservere, skapte botnets og stjal brukerpassord, og forårsaket kostbar skade på virksomheten.

Som svar har Bill Gates lansert Trustworthy Computing Initiative tidlig i 2002. To år senere hadde firmaet raffinert hva det kaller Security Development Lifecycle (SDL), eller dets prosesser for å sikre at den skriver nær-bulletproof kode.

Bruk av SDL har redusert antall sikkerhetsproblemer ilities i sitt Windows Vista-operativsystem og SQL Server, en av sine databaseprogrammer, sammenlignet med eldre versjoner av programvaren, sa Steve Lipner, seniorleder for sikkerhetssteknologistrategi for Microsofts pålitelige databehandling.

Utvide SDL til ISV uavhengige programvareleverandører) og andre utviklere for bedrifter, for eksempel banker, styrker tilliten til Microsoft og programvare utviklet for Windows, sier Lipner.

"Hvis noen bruker en tredjepartsprogram på Microsoft-plattformen, er de fortsatt en Microsoft kunde, "sa Lipner. "Vi ønsker at deres databehandling skal være trygg og sikker."

To av verktøyene er gratis. SDL-optimaliseringsmodellen er et spørreskjema og en sjekkliste som evaluerer en organisasjons sikkerhetsutviklingspraksis. Det ser på hvordan et selskap reagerer på nye sikkerhetsvarsler og oppdateringer, og problemer som trening og trusselmodellering.

Microsoft vil tilby SDL-optimaliseringsmodellen for nedlasting på SDL-nettsiden i november.

"Vi tror det er kommer til å være en god ressurs for folk som vil komme inn i SDL og må finne ut hvordan de kommer i gang, sier Lipner.

Den andre freebieen er et program kalt SDL Threat Modeling Tool 3.0, som vil hjelpe programvare arkitekter som ikke er kjent med sikkerheten for å oppdage potensielle sikkerhetsproblemer i programvare de designer.

"Hvis du er en utvikler, sier du at ting som" Tenk som en angriper, ikke hjelper ", sa Adam Shostack, senior programleder for sikkerhetsutviklingslivssykkelteamet.

Programmet lar programvarearkitene tegne aspekter som dataflyt. Microsoft har kodet inn i programreglene som sikkerhetsingeniører ville følge når de jobber med programvare. Brukere av Threat Modeling Tool få øyeblikkelig tilbakemelding, sa Shostack. Microsoft vil sette verktøyet på nedlastingssenteret for Microsoft Developer Network i november.

Den siste komponenten er dannelsen av en gruppe selskaper som kan gi råd til andre selskaper på SDL. SDL Pro Network er en gruppe med ni sikkerhetsleverandører, konsulenter og treningsfirmaer.

Nettverket kan gi råd til ISVer og bedrifter på måter å teste sin egen internt utviklede programvare for kodingsproblemer. SDL Pro Network vil starte en pilotfase i november, sa Lipner. Disse selskapene vil bli betalt gjennom enten en klassisk konsulentavgift eller regning ved abonnementstjeneste, sier Lipner.

"Vi tror at de skal vise seg å være en god ressurs for organisasjoner utenfor Microsoft som ønsker å gå videre med SDL, Sier Lipner.

Mesteparten av Windows-programvaren er ikke skrevet ved hjelp av toppmoderne sikkerhetspraksis, sa Jan Muenther, [cq] CTO med SDL Pro Network member n.runs. "Selv om Microsoft selv har satset mye på å sikre sin egen kode, kan koden de får fra tredjepart ikke tilsvare det samme kvalitetsnivået," sa han.

Muenther mener at disse nye SDL-programmene ikke kunne bare biff opp kvaliteten på Microsofts partnere koden, men det kan også trekke litt oppmerksomhet til Microsofts egen sikkerhetspraksis også. "De vil spre ordet litt," sa han.

Robert McMillan i San Francisco bidro til denne historien.