Microsoft släpper ut säkerhetsverktyg, metoder

Microsoft kommer snart att släppa ut verktyg och metoder som den har använt de senaste åren för att minska antalet säkerhetsproblem i programvaran.

Microsoft började ta säkerhet på allvar runt 2001. Kodproblem i programvaran öppnade dörren till en intensiv ny våg av onda maskar eller självförbredande program som kraschade e-postservrar, skapade botnät och stal användarlösenord och orsakade kostsamma skador på företagen.

Som ett svar startade Bill Gates Trustworthy Computing Initiative i början av 2002. Två år senare hade företaget förfinat vad det kallar säkerhetsutvecklingslivscykeln (SDL) eller dess processer för att säkerställa att den skriver nära bulletproof kod.

Användningen av SDL har minskat antalet säkerhetsproblem ilities i sitt Windows Vista-operativsystem och SQL Server, ett av dess databasprogram, jämfört med äldre versioner av programvaran, säger Steve Lipner, senior chef för säkerhetssteknik för Microsofts pålitliga datorkoncern.

Utöka SDL till ISV oberoende programvaruleverantörer) och andra utvecklare för företag, till exempel banker, stärker förtroendet för Microsoft och mjukvaran avsedd för Windows, säger Lipner.

"Om någon använder en tredjepartsapplikation på Microsoft-plattformen, är de fortfarande en Microsoft kund ", säger Lipner. "Vi vill att deras beräkningar ska vara säkra."

Två av verktygen är gratis. SDL Optimeringsmodellen är ett frågeformulär och en checklista som utvärderar organisationens säkerhetsutvecklingsmetoder. Det ser på hur ett företag svarar på nya säkerhetsvarningar och patchar och problem som utbildning och hotmodellering.

Microsoft kommer att erbjuda SDL-optimeringsmodellen för nedladdning på SDL-webbsidan i november.

"Vi tycker att det är kommer att vara en bra resurs för människor som vill komma in i SDL och behöver ta reda på hur de kommer igång, säger Lipner.

Den andra freebieen är en applikation som heter SDL Threat Modeling Tool 3.0, som kommer att hjälpa till med programvara arkitekter som inte är säkra på säkerhet för att upptäcka potentiella säkerhetsproblem i programvara som de designar.

"Om du är en utvecklare säger du att saker som" Tänk som en angripare "inte hjälper", säger Adam Shostack, senior programchef för säkerhetsutvecklingslivscykellaget.

Programmet låter programarkitektera diagramaspekter som dataflöden. Microsoft har kodat in i programreglerna som säkerhetsingenjörerna skulle följa när de arbetade med programvara. Användare av Threat Modeling Tool få omedelbar återkoppling, sa Shostack. Microsoft kommer att lägga verktyget på sitt Microsoft Developer Network-hämtningscenter i november.

Den sista komponenten är bildandet av en grupp företag som kan rådgöra med andra företag på SDL. SDL Pro Network är en grupp av nio tjänsteleverantörer, konsultföretag och utbildningsföretag.

Nätverket kan ge råd till ISV och företag på sätt att testa sin egen internt utvecklade programvara för kodproblem. SDL Pro Network startar en pilotfas i november, sade Lipner. Dessa företag kommer att få betalt genom antingen en klassisk konsultavgift eller en faktura av abonnemangstjänsten, säger Lipner. "Vi tror att de kommer att visa sig vara en stor resurs för organisationer utanför Microsoft som vill gå vidare med SDL, Säger Lipner.

Mest programvara från tredje part är inte skrivet med hjälp av toppmoderna säkerhetspraxis sa Jan Muenther, [cq] CTO med SDL Pro Network member n.runs. "Även om Microsoft själva har satsat mycket på att säkra sin egen kod, kan den kod de får från tredje part inte matcha samma kvalitetsnivå, säger han.

Muenther anser att dessa nya SDL-program inte kunde bara biff upp kvaliteten på Microsofts partners kod, men det kan också uppmärksamma Microsofts egna säkerhetspraxis också. "De vill sprida ordet lite," sa han.

Robert McMillan i San Francisco bidrog till denna historia.