Vil gi sikrere kode

Vil gi sikrere kode

Microsoft gir bort deler av sin Security Development Lifecycle-prosess.

I forbindelse med BlackHat-konferansen i Washington D.C. har Microsoft lansert nye verktøy til sin SDL-prosess (Security Development Lifecycle).

Microsoft har benyttet seg av SDL-prosessen siden 2004 for å utvikle sikrere kode. Prosessen inkluderer blant annet utvikling av trusselmodeller under programvaredesign, bruk av kodeskannende verktøy under implementering og kode- og sikkerhetstesting.

Selskapet ønsker nå å dele SDL-praksisen med andre, og har gjort tilgjengelig et 18 siders dokument med tittelen “Simplified Implementation of the Microsoft SDL”. Meningen er at utviklingsselskaper i alle størrelser skal kunne ta i bruk SDL-baserte sikkerhetsrutiner.

Veiledningen har en steg-for-steg tilnærming om hvordan man utvikler sikrere kode uten betydelige kostnader eller ressurser. Det kan være verdt å merke seg at SDL ikke er kun for Windows, men at teknikkene som beskrives også kan benyttes for andre plattformer.

Det er også publisert en betaversjon av en mal (kan lastes ned her) for effektiv applikasjonsutvikling for Visual Studio Team System 2008/Team Foundation Server, og som integrerer SDL med Microsoft Solutions Framework (MSF) og Agile-utviklingstilpasninger.

Agile er basert på prosessadministrasjon med flere sjekker underveis. Den endelige versjonen vil være tilgjengelig før utgangen av juni.

Malen oppretter automatisk arbeidsflytselementer slik at de oppfyller SDL-sikkerhetskravene hver gang kode sjekkes mot serveren. Det er også en analysatorfunksjon som sikrer at koden er i tråd med SDL-retningslinjene.

- Dette er verktøy og prosesser som bør være av interesse for alle som driver med utvikling, om det er interne prosjekter eller komersiell programvare (inkludert Open Source prosjekter) vil en strukturert prosess hjelpe til med å øke kvaliteten på programvaren, sier Ole Tom Seierstad i Microsoft.

Selskapet uttalte også at de utvider antall partnere i sitt SDL Pro Network. Dette partnerapparatet ble opprettet i 2008, og består av en gruppe sikkerhetsselskaper som kan veilede og bistå utviklingsselskaper med å implementere SDL.

Du finner mer informasjon på http://www.microsoft.com/sdl