Microsoft rozdaje darmowe oprogramowanie - dla bezpieczeństwa

Microsoft rozdaje darmowe oprogramowanie - dla bezpieczeństwa20.05.2009 14:44
Źródło zdjęć: © Microsoft

W ramach swojego Security Development Lifecycle (SDL) Microsoft udostępnił właśnie narzędzie, za pomocą którego programiści mogą zintegrować całą wiedzę SDL w swoich środowiskach do opracowywania aplikacji. SDL to prowadzony przez Microsoft proces, który ma na celu tworzenie możliwie jak najbezpieczniejszego i wolnego od błędów oprogramowania. Wewnątrz firmy SDL jest integralną częścią składową wszystkich programów i systemów operacyjnych rozwijanych od 2004 roku.

Aby umożliwić udział w SDL także programistom spoza Microsoftu, do tej pory koncern publikował wytyczne i porady w formie pisemnej dokumentacji. Jak można się domyślić, dostosowywanie własnego procesu rozwoju oprogramowania do zaleceń SDL było dość uciążliwe. Process Template to pierwsze takie narzędzie rodem z Redmond, które odwzorowuje kompletny SDL w jego najnowszej postaci oznaczonej numerem 4.1. W tym celu Microsoft posłużył się mechanizmem szablonów (Templates) dla Visual Studio Team System.

Jak stwierdził w rozmowie z heise Security Glenn Pittaway, Group Program Manager zespołu SDL, kod źródłowy musi być obsługiwany za pomocą Visual Studio. Z drugiej strony takie rozwiązanie maksymalnie ułatwia pracę z SDL projetktantom obeznanym z Visual Studio Team System. Nawet programiści, którzy nie mają szczególnego doświadczenia w kwestii bezpieczeństwa, będą w ten sposób mogli według Pittawaya pisać bezpieczny kod programów.

Pittaway nie chciał odpowiedzieć jednoznacznie na pytanie, czy Microsoft przygotuje także szablony dla innych środowisk do rozwoju oprogramowania. Firma będzie teraz oczekiwać na opinie zwrotne ze społeczności programistów i jeśli pojawi się takie zapotrzebowanie, możliwe, że pojawią się także inne warianty, które współpracowałyby nie tylko z Visual Studio. Według Pittawaya w SDL 4.1 Microsoft szczególny nacisk położył na aplikacje sieciowe. Usługi, a także lokalne programy, które stale lub często łączą się z Internetem, wnoszą całkiem nowe wymagania do koncepcji zabezpieczeń, w związku z tym twórcy SDL wzięli te zagadnienia pod uwagę.

Programiści, którzy chcieliby zorientować swój własny proces programowania na wymogi SDL, mogą dostosować długą listę wytycznych i porad do swoich potrzeb i w związku z tym nie muszą przywiązywać wagi do kroków procesowych, które z ich punktu widzenia są nieistotne. Każde zadanie, takie jak np. usunięcie błędów w kodzie źródłowym, może być przyporządkowane za pomocą szablonu określonej osobie albo zespołowi. Status każdego projektu można szybko sprawdzić. Poza tym w ten sposób łatwo jest tworzyć statystyki i raporty, by z ich pomocą oceniać między innymi skuteczność zewnętrznych narzędzi do wykrywania bugów.

Jak istotne jest tworzenie bezpiecznych programów, dyrektor Microsoftu zademonstrował na przykładzie danych statystycznych. Obecnie jedynie 10 procent exploitów za swój cel ataku wybiera system operacyjny. Według Pittawaya pozostałe 90 procent jest skierowane przeciwko programom i przeglądarkom. Siedemdziesiąt procent twórców oprogramowania nie poddaje swoich programów żadnym testom bezpieczeństwa przed ich upublicznieniem. Jednocześnie amerykańska agencja NIST (National Institute of Standards and Technology) stwierdziła, że rozpoznawanie i usuwanie problemów z zabezpieczeniami jeszcze w fazie projektowania jest 30-krotnie tańsze od usuwania tych problemów już po wydaniu produktu. To, że SDL spełnia swoje zadania, potwierdza także Dan Kaminsky, który ostatnio stał się obiektem powszechnego zainteresowania za sprawą wykrytej przez niego luki DNS Cache Poisoning. Kaminsky zalicza się do zewnętrznych ekspertów od bezpieczeństwa, którzy są regularnie angażowani przez Microsoft do testowania kodu źródłowego. W
rozmowie z dziennikarzami Kaminsky oświadczył, że kod pisany za pomocą SDL jest bez porównania lepszy i bezpieczniejszy niż kod programów pisany przed rokiem 2004.

wydanie internetowe www.heise-online.pl

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA