Microsoft veröffentlicht Tools für die interne Sicherheit, Methoden

Microsoft wird in Kürze Tools und Methoden veröffentlichen, mit denen die Anzahl der Sicherheitsprobleme in der Software reduziert werden konnte.

Microsoft begann um das Jahr 2001 mit der Sicherheit zu beginnen. Codierprobleme in seiner Software öffneten die Tür zu einer intensiven neuen Welle von bösartigen Würmern oder sich selbst verbreitenden Programmen, die E-Mail-Server zum Absturz brachten, Botnets erzeugten und Benutzerkennwörter stahlen, was den Unternehmen kostspieligen Schaden zufügte.

Als Reaktion darauf lancierte Bill Gates Anfang 2002 die Trustworthy Computing Initiative Zwei Jahre später hat das Unternehmen den so genannten Security Development Lifecycle (SDL) oder seine Prozesse weiterentwickelt, um sicherzustellen, dass nahezu kugelsicherer Code geschrieben wird.

Die Verwendung von SDL hat die Anzahl der Sicherheitslücken verringert isses in seinem Windows Vista-Betriebssystem und SQL Server, eines seiner Datenbankprogramme, im Vergleich zu älteren Versionen der Software, sagte Steve Lipner, Senior Director der Security-Engineering-Strategie für Microsofts Trustworthy Computing Group.

Erweitern der SDL zu ISV (Unabhängige Softwareanbieter) und andere Entwickler für Unternehmen, wie Banken, stärkt das Vertrauen in Microsoft und Software für Windows, sagte Lipner.

"Wenn jemand eine Drittanbieter-Anwendung auf der Microsoft-Plattform verwendet, sind sie immer noch ein Microsoft Kunde ", sagte Lipner. "Wir möchten, dass ihre Computererfahrung sicher und sicher ist."

Zwei der Tools sind kostenlos. Das SDL-Optimierungsmodell ist ein Fragebogen und eine Prüfliste, die die Sicherheitsentwicklungspraktiken einer Organisation bewertet. Es wird untersucht, wie ein Unternehmen auf neue Sicherheitswarnungen und Patches reagiert, sowie auf Themen wie Schulung und Bedrohungsmodellierung.

Microsoft wird das SDL-Optimierungsmodell im November auf seiner SDL-Webseite zum Download anbieten.

"Wir denken, dass Das ist eine großartige Ressource für Leute, die in die SDL einsteigen wollen und herausfinden müssen, wie sie anfangen sollen ", sagte Lipner.

Der andere Freebie ist eine Anwendung namens SDL Threat Modeling Tool 3.0, die Software helfen wird Architekten, die sich nicht mit Sicherheit auskennen, um mögliche Sicherheitsprobleme in der von ihnen entworfenen Software zu erkennen.

"Wenn Sie ein Entwickler sind und Ihnen Dinge wie 'Angreifer denken' nicht helfen," sagte Adam Shostack, Senior Programm Manager für das Security Development Lifecycle Team.

Mit der Anwendung können Softwarearchitekten Aspekte wie Datenflüsse grafisch darstellen. Microsoft hat sich in die Programmregeln eingearbeitet, die Sicherheitsingenieure bei der Arbeit mit Software befolgen würden. Nutzer von Threat Modeling Tool erhalten sofort Feedback, sagte Shostack. Microsoft wird das Tool im November auf das Microsoft Developer Network-Download-Center stellen.

Die letzte Komponente ist die Bildung einer Unternehmensgruppe, die andere Unternehmen auf der SDL beraten kann. Das SDL Pro Network ist eine Gruppe von neun Sicherheitsdienstleistern, Beratungsunternehmen und Schulungsunternehmen.

Das Netzwerk kann ISVs und Unternehmen beraten, wie sie ihre eigene, selbst entwickelte Software für Codierungsprobleme testen können. Das SDL Pro Network wird im November eine Pilotphase starten, sagte Lipner. Diese Unternehmen werden entweder durch eine klassische Beratungsgebühr oder eine Rechnung durch einen Abonnementdienst bezahlt, sagte Lipner.

"Wir glauben, dass sie sich als eine großartige Ressource für Organisationen außerhalb von Microsoft erweisen werden, die mit dem SDL weitermachen wollen "Lipner sagte.

Die meisten Windows-Software von Drittanbietern ist nicht mit den neuesten Sicherheitsmaßnahmen geschrieben, sagte Jan Muenther, CTO mit SDL Pro Network Mitglied n.runs. "Während Microsoft selbst viel Mühe darauf verwendet hat, ihren eigenen Code zu sichern, stimmt der Code, den sie von Drittanbietern erhalten, manchmal nicht mit der gleichen Qualität überein", sagte er.

Muenther glaubt, dass diese neuen SDL-Programme nicht funktionieren Sie verbessern nur die Qualität des Microsoft-Partnercodes, könnten aber auch auf Microsofts Sicherheitspraktiken aufmerksam machen. "Sie wollen das Wort ein wenig verbreiten", sagte er.

Robert McMillan in San Francisco hat zu dieser Geschichte beigetragen.