Microsoft publiceert interne beveiligingsprogramma's, methoden

Microsoft zal binnenkort gereedschappen en methoden vrijgeven die het de afgelopen jaren heeft gebruikt om het aantal beveiligingsproblemen in zijn software te verminderen.

Microsoft begon de beveiliging serieus te nemen rond 2001. Codeerproblemen in de software opende de deur tot een intense nieuwe golf van kwaadwillende wormen, of zelf-propagerende programma's die e-mailservers verpletterden, botnets creëerden en gebruikerswachtwoorden stalden, wat kostbare schade aan bedrijven veroorzaakte. In reactie daarop lanceerde Bill Gates begin 2002 het Trustworthy Computing Initiative. Twee jaar later had het bedrijf de zogenoemde Security Development Lifecycle (SDL), of zijn processen, verfijnd om ervoor te zorgen dat het bijna-bulletproof code schrijft.

Het gebruik van de SDL heeft het aantal beveiligingskwetsuren verminderd in zijn Windows Vista-besturingssysteem en SQL Server, een van zijn databaseprogramma's, vergeleken met oudere versies van de software, zegt Steve Lipner, senior director security-strategie voor Microsoft's Trustworthy Computing Group.

De SDL uitbreiden naar ISV (onafhankelijke softwareleveranciers) en andere ontwikkelaars voor bedrijven, zoals banken, versterkt het vertrouwen in Microsoft en software die is ontworpen voor Windows, zei Lipner.

"Als iemand een toepassing van derden op het Microsoft-platform gebruikt, zijn ze nog steeds een Microsoft klant, "zei Lipner. "We willen dat hun computerervaring veilig is."

Twee hulpprogramma's zijn gratis. Het SDL-optimalisatiemodel is een vragenlijst en een checklist die de beveiligingspraktijken van een organisatie evalueert. Er wordt bekeken hoe een bedrijf reageert op nieuwe beveiligingswaarschuwingen en patches en op zaken als training en bedreigingsmodellering.

Microsoft zal het SDL-optimalisatiemodel in november aanbieden voor download op de SDL-webpagina.

"We denken dat dit een geweldige bron voor mensen die in de SDL willen komen en moeten uitzoeken hoe ze worden opgestart, "zei Lipner.

De andere freebie is een applicatie genaamd de SDL Threat Modelling Tool 3.0, die software zal helpen architecten die niet vertrouwd zijn met beveiliging om mogelijke beveiligingsproblemen op te sporen in de software die zij ontwerpen.

"Als u een ontwikkelaar bent, helpt het u dingen als 'Denk als een aanvaller' niet," zei Adam Shostack, senior programmamanager voor het Security Development Lifecycle Team.

De toepassing laat softwarearchitecten diagramaspecten zoals gegevensstromen. Microsoft heeft gecodeerd in de programmaregels die beveiligingsingenieurs zouden volgen bij het werken met software. Gebruikers van Threat Modelling Tool krijgen direct feedback, zei Shostack. Microsoft zal de tool in november in het Microsoft Developer Network downloaden.

Het laatste onderdeel is de formatie van een groep bedrijven die andere bedrijven kan adviseren over de SDL. Het SDL Pro Network is een groep van negen beveiligingsserviceproviders, adviesbureaus en trainingsbedrijven.

Het netwerk kan ISV's en bedrijven adviseren over manieren om hun eigen intern ontwikkelde software voor coderingsproblemen te testen. Het SDL Pro Network start in november een proeffase, zei Lipner. Die bedrijven worden betaald via een klassiek advies of een abonnement door een abonnementsservice, zei Lipner.

"We denken dat ze een geweldige bron blijken te zijn voor organisaties buiten Microsoft die vooruitgang willen boeken met de SDL, "Zei Lipner.

De meeste Windows-software van derden is niet geschreven volgens de modernste beveiligingsmethoden, zei Jan Muenther, [cq] CTO bij SDL Pro Network-lid n.runs. "Hoewel Microsoft zelf veel moeite heeft gedaan om hun eigen code te beveiligen, komt de code die ze van derden krijgen soms niet overeen met hetzelfde kwaliteitsniveau," zei Muenther, die denkt dat deze nieuwe SDL-programma's niet kunnen alleen de kwaliteit van de Microsoft-code van partners verbeteren, maar het zou ook enige aandacht kunnen vestigen op de eigen beveiligingspraktijken van Microsoft. "Ze willen het woord een beetje verspreiden," zei hij.

Robert McMillan in San Francisco heeft bijgedragen aan dit verhaal.