После четырехлетней внутрикорпоративной стадии разработки с нуля, Secure
Development Lifecycle (SDL) от Microsoft, возможно, скоро выйдет в массы.
Во вторник корпорация обнародовала свои планы, в рамках которых она планирует
предоставлять различным компаниям всеобъемлющие консультации по внедрению
практики соблюдения мер безопасности при программировании. Это будет реализовано
посредством трех инициатив, которые станут достоянием общественности в ноябре.
Первая идея состоит в выпуске Microsoft SDL Threat Modeling Tool.
Данный программный продукт разработан для того, чтобы направить разработку
безопасного программного обеспечения в более правильное русло путем подсказок
командам программистов о возможных местах появления уязвимостей. Реализовано это
будет с помощью специальных диаграмм рисков, анализа возможных угроз и советов
по смягчению последствий от незапланированных утечек.
Например, станет нормой ситуация, когда эта утилита будет отмечать в процессе
разработки уязвимые для, скажем, спуфинга или отказа в выполнении команд участки
кода. Базы данных, напротив, будут анализироваться на предмет наличия
возможностей по раскрытию их содержимого.
Второй замысел - это модель оптимизации, заложенная в Microsoft SDL, которая
позволит сторонним разработчикам самим совершенствовать их собственные текущие
версии SDL-программ.
Третья инициатива, названная Microsoft SDL Pro Network, представляет
собой сообщество сторонних разработчиков решений по безопасности, которые будут
помогать другим организациям справляться с различными трудностями при разработке
безопасных приложений. В этой инициативе, на протяжении пробного периода длиной
в один год, примут участие следующие консультанты: Cigital, IOActive, iSEC
Partners, Leviathan Security Group, Next Genertion Security Software, Nruns
Professionals, Security Innovation, Security University, и Verizon Business.
