Microsoft lança ferramentas internas de segurança, métodos

A Microsoft lançará em breve ferramentas e métodos usados ​​nos últimos anos para reduzir o número de problemas de segurança em seu software.

A Microsoft começou a levar a segurança a sério por volta de 2001. Problemas de codificação em seu software abriram a porta a uma nova onda intensa de worms mal-intencionados ou programas de auto-propagação que travaram servidores de e-mail, criaram botnets e roubaram senhas de usuários, causando prejuízos caros às empresas.

Em resposta, Bill Gates lançou a Trustworthy Computing Initiative no início de 2002 Dois anos depois, a empresa refinou o que chamou de Security Development Lifecycle (SDL), ou seus processos, para garantir que ele grava código quase à prova de balas.

O uso do SDL reduziu o número de vulnerabilidades de segurança. O sistema operacional Windows Vista e o SQL Server, um de seus programas de banco de dados, são comparados a versões mais antigas do software, disse Steve Lipner, diretor sênior de estratégia de engenharia de segurança do Trustworthy Computing Group.

Estendendo o SDL para ISV (fornecedores independentes de software) e outros desenvolvedores de empresas, como bancos, fortalecem a confiança na Microsoft e no software projetado para o Windows, disse Lipner.

"Se alguém está usando um aplicativo de terceiros na plataforma Microsoft, ainda é um Microsoft cliente ", disse Lipner. "Queremos que sua experiência em computação seja segura e protegida".

Duas das ferramentas são gratuitas. O SDL Optimization Model é um questionário e uma lista de verificação que avalia as práticas de desenvolvimento de segurança de uma organização. Ele analisa como uma empresa responde a novos alertas e patches de segurança e questões como treinamento e modelagem de ameaças.

A Microsoft oferecerá o SDL Optimization Model para download em sua página SDL em novembro.

"Achamos que vai ser um grande recurso para as pessoas que querem entrar no SDL e precisam descobrir como começar ", disse Lipner.

O outro brinde é um aplicativo chamado SDL Threat Modeling Tool 3.0, que ajudará o software arquitetos que não são versados ​​em segurança para detectar potenciais problemas de segurança em softwares que estão projetando.

"Se você é um desenvolvedor, dizer coisas como 'Pense como um invasor' não está ajudando", disse Adam Shostack, gerente de programa sênior para a Equipe de Ciclo de Vida de Desenvolvimento de Segurança.

O aplicativo permite que arquitetos de software esquematizem aspectos como fluxos de dados. A Microsoft codificou as regras do programa que os engenheiros de segurança seguiriam ao trabalhar com o software. Os usuários do Threat Modeling Tool recebem feedback instantâneo, disse Shostack. A Microsoft colocará a ferramenta em seu centro de download da Microsoft Developer Network em novembro.

O último componente é a formação de um grupo de empresas que pode aconselhar outras empresas sobre o SDL. O SDL Pro Network é um grupo de nove provedores de serviços de segurança, consultorias e empresas de treinamento.

A rede pode aconselhar ISVs e empresas sobre maneiras de testar seus próprios softwares desenvolvidos internamente para problemas de codificação. A rede SDL Pro iniciará uma fase piloto em novembro, disse Lipner. Essas empresas serão pagas através de uma taxa de consultoria ou fatura clássica por um serviço de assinatura, disse Lipner.

"Acreditamos que eles provarão ser um ótimo recurso para organizações fora da Microsoft que desejam avançar com o SDL. ", Disse Lipner.

A maioria dos softwares para Windows de terceiros não é escrita usando práticas de segurança de última geração, disse Jan Muenther, CTO da SDL Pro Network, membro do n.runs. "Embora a própria Microsoft tenha se esforçado para proteger seu próprio código, às vezes o código obtido de terceiros não corresponde ao mesmo nível de qualidade", afirmou.

Muenther acredita que esses novos programas SDL não só reforça a qualidade do código dos parceiros da Microsoft, mas também pode chamar atenção para as práticas de segurança da própria Microsoft. "Eles querem espalhar um pouco a palavra", disse ele.Robert McMillan em San Francisco contribuiu para esta história.