Microsoft rozdaje darmowe oprogramowanie - dla bezpieczeństwa
W ramach swojego Security Development Lifecycle (SDL) Microsoft udostępnił właśnie narzędzie, za pomocą którego programiści mogą zintegrować całą wiedzę SDL w swoich środowiskach do opracowywania aplikacji. SDL to prowadzony przez Microsoft proces, który ma na celu tworzenie możliwie jak najbezpieczniejszego i wolnego od błędów oprogramowania. Wewnątrz firmy SDL jest integralną częścią składową wszystkich programów i systemów operacyjnych rozwijanych od 2004 roku.
Aby umożliwić udział w SDL także programistom spoza Microsoftu, do tej pory koncern publikował wytyczne i porady w formie pisemnej dokumentacji. Jak można się domyślić, dostosowywanie własnego procesu rozwoju oprogramowania do zaleceń SDL było dość uciążliwe. Process Template to pierwsze takie narzędzie rodem z Redmond, które odwzorowuje kompletny SDL w jego najnowszej postaci oznaczonej numerem 4.1. W tym celu Microsoft posłużył się mechanizmem szablonów (Templates) dla Visual Studio Team System.
Jak stwierdził w rozmowie z heise Security Glenn Pittaway, Group Program Manager zespołu SDL, kod źródłowy musi być obsługiwany za pomocą Visual Studio. Z drugiej strony takie rozwiązanie maksymalnie ułatwia pracę z SDL projetktantom obeznanym z Visual Studio Team System. Nawet programiści, którzy nie mają szczególnego doświadczenia w kwestii bezpieczeństwa, będą w ten sposób mogli według Pittawaya pisać bezpieczny kod programów.
Pittaway nie chciał odpowiedzieć jednoznacznie na pytanie, czy Microsoft przygotuje także szablony dla innych środowisk do rozwoju oprogramowania. Firma będzie teraz oczekiwać na opinie zwrotne ze społeczności programistów i jeśli pojawi się takie zapotrzebowanie, możliwe, że pojawią się także inne warianty, które współpracowałyby nie tylko z Visual Studio. Według Pittawaya w SDL 4.1 Microsoft szczególny nacisk położył na aplikacje sieciowe. Usługi, a także lokalne programy, które stale lub często łączą się z Internetem, wnoszą całkiem nowe wymagania do koncepcji zabezpieczeń, w związku z tym twórcy SDL wzięli te zagadnienia pod uwagę.
Programiści, którzy chcieliby zorientować swój własny proces programowania na wymogi SDL, mogą dostosować długą listę wytycznych i porad do swoich potrzeb i w związku z tym nie muszą przywiązywać wagi do kroków procesowych, które z ich punktu widzenia są nieistotne. Każde zadanie, takie jak np. usunięcie błędów w kodzie źródłowym, może być przyporządkowane za pomocą szablonu określonej osobie albo zespołowi. Status każdego projektu można szybko sprawdzić. Poza tym w ten sposób łatwo jest tworzyć statystyki i raporty, by z ich pomocą oceniać między innymi skuteczność zewnętrznych narzędzi do wykrywania bugów.
Jak istotne jest tworzenie bezpiecznych programów, dyrektor Microsoftu zademonstrował na przykładzie danych statystycznych. Obecnie jedynie 10 procent exploitów za swój cel ataku wybiera system operacyjny. Według Pittawaya pozostałe 90 procent jest skierowane przeciwko programom i przeglądarkom. Siedemdziesiąt procent twórców oprogramowania nie poddaje swoich programów żadnym testom bezpieczeństwa przed ich upublicznieniem. Jednocześnie amerykańska agencja NIST (National Institute of Standards and Technology) stwierdziła, że rozpoznawanie i usuwanie problemów z zabezpieczeniami jeszcze w fazie projektowania jest 30-krotnie tańsze od usuwania tych problemów już po wydaniu produktu. To, że SDL spełnia swoje zadania, potwierdza także Dan Kaminsky, który ostatnio stał się obiektem powszechnego zainteresowania za sprawą wykrytej przez niego luki DNS Cache Poisoning. Kaminsky zalicza się do zewnętrznych ekspertów od bezpieczeństwa, którzy są regularnie angażowani przez Microsoft do testowania kodu źródłowego. W
rozmowie z dziennikarzami Kaminsky oświadczył, że kod pisany za pomocą SDL jest bez porównania lepszy i bezpieczniejszy niż kod programów pisany przed rokiem 2004.
wydanie internetowe www.heise-online.pl
