Microsoft deelt eigen kennis en intern gebruikte tools voor het ontwikkelen van veilige software. De Windows-producent stelt zijn Secure Development Lifecycle-concepten en software (SDL) gratis ter beschikking.
De lessen die Microsoft-ontwikkelaars hebben geleerd met de ontwikkeling van nieuwe producten als Windows Vista, Office 2007 en SQL Server 2008 komen beschikbaar voor andere programmeurs. Microsoft deelt namelijk die kennis én de intern gebruikte tools voor het ontwikkelen van beter beveiligde software. Dit is gebaseerd op de Secure Development Lifecycle (SDL) die de Windows-producent hanteert voor zijn softwareontwikkeling.
Dit SDL is qua concepten, kennis en daaruit voortgekomen tools het resultaat van de ommezwaai voor beveiliging, die topman Bill Gates in 2001 afdwong. Alle ontwikkelaars bij Microsoft zijn toen verplicht op een diepgaande beveiligingscursus gegaan. Daarna is Service Pack 2 voor Windows XP ontwikkeld, wat de beveiliging van dat besturingssysteem flink heeft verbeterd.
Checklist en tool
Concreet biedt Microsoft drie tools aan. Het SDL Optimization Model is een auditingtool die een vragenlijst en controlepunten (checklist) omvat voor de ontwikkelpraktijken binnen een organisatie. Dit brengt in kaart hoe daar wordt omgegaan met beveiliging.
Deze audit meet bijvoorbeeld hoe een organisatie reageert op security alerts en patches, wat het doet aan training op het gebied van beveiliging en veilig ontwikkelen, en wat het doet om bedreigingen in kaart te brengen (threat modelling). Dit optimalisatiemodel is vanaf november gratis te downloaden op de SDL-site van Microsoft.
Daarnaast biedt de Windows-producent de SDL Threat Modelling Tool 3.0. Die applicatie moet hulp bieden aan ontwikkelaars die niet zo thuis zijn in beveiliging. De Threat Modelling Tool moet potentiële beveiligingsproblemen in kaart brengen in software die nog in ontwikkeling is.
De tool brengt onder meer de datastromen van de te ontwikkelen programmatuur in beeld en legt die naast beveiligingsregels. De ontwikkelaar krijgt daarbij direct feedback op wijzigingen die hij in reactie daarop weer aanbrengt. Deze ontwikkeltool komt ook in november uit, en is dan gratis te downloaden op het MSDN (Microsoft developer network).
Adviesgroep
Tot slot richt Microsoft ook een adviesgroep op met bedrijven die thuis zijn in SDL. Die ondernemingen kunnen andere ontwikkelaars weer helpen met het ontwikkelen van beter beveiligde software. Dit zogeheten SDL Pro Network omvat nu negen bedrijven, waaronder security-dienstverleners, consultancies en trainingsbedrijven.
Ondernemingen die hier gebruik van willen maken, moeten daarvoor reguliere consultancy-tarieven betalen. Een abonnementsconstructie voor betaling van dit advies is ook mogelijk. Het SDL Pro Network gaat ook in november van start.
Nou , daar ben je lekker mee.
En Microsoft staat toch al bekend omdat ze het meest betrouwbare virus pakket hebben ontwikkeld.
Hoe heet het ook alweer…. oja Windows..
Slimme jongen die Bill Gates, heeft miljarden verdient met het verkopen van zijn eigen gatenkaas systeem.
Sterkte gewenst
Kom even uit die Linux grot van je en kijk eens naar een Windows die jonger is dan 8 jaar.
Daarnaast zul je zien dat hoe populairder een systeem is hoe meer malware ervoor geschreven wordt. Dat ligt niet aan het OS maar aan de hoeveelheid gebruikers. Waarom zou iemand malware schrijven voor Linux? Je bereikt maar een zeer klein percentage gebruikers en daarnaast zijn het allemaal gevorderde gebruikers, dus niemand die erin trapt.
Ik sta iedere keer weer versteld van de eentonigheid van de argumenten van Linux-verslaafden en het feit dat ze blijkbaar al meer dan 8 jaar niet uit hun zolderkamertjes zijn gekropen om te kijken hoe het er tegenwoordig voorstaat.
Ook al ben ik een fan van open source software dit idee van de MS-boys lijkt op het eerste oog er leuk uit te zien.
Ik denk dat het voor heel bedrijven een goede eerst zet zou kunnen zijn om nu een serieus met security om te gaan.
En aangezien de meeste van die bedrijven ook nog een MS software gebruiken lijkt me dit een goed aanvullen. Uit ervaring zal blijken of dit hulp middel echt een oplossing is, of alleen maar een lapmiddel. Het belang van een juiste architectuur en test fases blijft natuurlijk, en daar verander je ook niet mee met deze tool.
Kortom een goede stap om kennis en kunde te delen, net zoals in open source land… 😉
Veiligheid draait niet alleen om de veiligheid van de software maar met name ook om de veiligheid van de gegevens. Een presentatie van een operationeel research systeem wat (onder andere) draait op Microsoft Windows met de daarbij gebruikte ontwikkelmethode en tools is te bekijken op de site http://www.swissitpro.ch en te zoeken met de zoekfunctie naar het keyword “quantum”.