Microsoft Merilis Alat Keamanan Internal, Metode

Microsoft akan segera merilis alat dan metode yang telah digunakannya selama beberapa tahun terakhir untuk mengurangi jumlah masalah keamanan dalam perangkat lunaknya.

Microsoft mulai menangani masalah keamanan dengan serius sekitar tahun 2001. Masalah pengkodean dalam perangkat lunaknya membuka pintu ke gelombang baru yang kuat dari cacing jahat, atau program yang menyebar sendiri yang merobohkan server e-mail, membuat botnet dan mencuri kata sandi pengguna, menyebabkan kerusakan yang mahal pada bisnis.

Sebagai tanggapan, Bill Gates meluncurkan Prakarsa Komputasi Terpercaya pada awal 2002 Dua tahun kemudian perusahaan telah menyempurnakan apa yang disebut Siklus Hidup Pengembangan Keamanan (SDL), atau prosesnya untuk memastikannya menulis kode hampir-tahan peluru.

Penggunaan SDL telah mengurangi jumlah kerentanan keamanan dalam sistem operasi Windows Vista dan SQL Server, salah satu program basis datanya, dibandingkan dengan versi perangkat lunak yang lebih lama, kata Steve Lipner, direktur senior strategi rekayasa keamanan untuk Microsoft Trustworthy Computing Group.

Memperluas SDL ke ISV (vendor perangkat lunak independen) dan pengembang lain untuk perusahaan, seperti bank, memperkuat kepercayaan pada Microsoft dan perangkat lunak yang dirancang untuk Windows, kata Lipner.

"Jika seseorang menggunakan aplikasi pihak ketiga di platform Microsoft, mereka masih merupakan Microsoft pelanggan, "kata Lipner. "Kami ingin pengalaman komputasi mereka aman dan aman."

Dua alat itu gratis. Model Pengoptimalan SDL adalah kuesioner dan daftar periksa yang mengevaluasi praktik pengembangan keamanan organisasi. Ini melihat bagaimana perusahaan menanggapi peringatan keamanan baru dan tambalan, dan masalah seperti pelatihan dan pemodelan ancaman.

Microsoft akan menawarkan Model Pengoptimalan SDL untuk pengunduhan di halaman Web SDL-nya pada bulan November.

"Kami pikir itu akan menjadi sumber yang bagus untuk orang-orang yang ingin masuk ke SDL dan perlu mencari tahu bagaimana mereka memulai, "kata Lipner.

Freebie lainnya adalah aplikasi yang disebut SDL Threat Modeling Tool 3.0, yang akan membantu perangkat lunak arsitek yang tidak berpengalaman dalam keamanan untuk menemukan masalah keamanan potensial dalam perangkat lunak yang mereka rancang.

"Jika Anda seorang pengembang, memberi tahu Anda hal-hal seperti 'Berpikir seperti penyerang' tidak membantu," kata Adam Shostack, manajer program senior untuk Tim Siklus Hidup Pengembangan Keamanan.

Aplikasi ini memungkinkan aspek diagram perangkat lunak arsitek seperti aliran data. Microsoft telah mengkodekan ke dalam aturan program yang akan diikuti oleh teknisi keamanan ketika bekerja dengan perangkat lunak. Pengguna Alat Pemodelan Ancaman mendapatkan umpan balik instan, kata Shostack. Microsoft akan memasang alat ini di pusat unduhan Microsoft Developer Network pada bulan November.

Komponen terakhir adalah pembentukan sekelompok perusahaan yang dapat memberi saran kepada perusahaan lain tentang SDL. SDL Pro Network adalah grup dari sembilan penyedia layanan keamanan, perusahaan konsultan dan pelatihan.

Jaringan dapat memberi saran kepada ISV dan perusahaan tentang cara menguji perangkat lunak yang dikembangkan secara internal mereka sendiri untuk masalah pengkodean. Jaringan SDL Pro akan memulai tahap uji coba pada November, kata Lipner. Perusahaan-perusahaan itu akan dibayar melalui biaya konsultasi klasik atau tagihan oleh layanan berlangganan, kata Lipner.

"Kami percaya mereka akan terbukti menjadi sumber daya yang hebat untuk organisasi di luar Microsoft yang ingin maju dengan SDL, "Kata Lipner.

Kebanyakan perangkat lunak Windows pihak ketiga tidak ditulis menggunakan praktik keamanan state-of-the-art kata Jan Muenther, CTO dengan anggota SDL Pro Network n.runs. "Meskipun Microsoft sendiri telah berusaha keras untuk mengamankan kode mereka sendiri, terkadang kode yang mereka dapatkan dari pihak ketiga tidak sesuai dengan tingkat kualitas yang sama," katanya.

Muenther percaya bahwa program-program SDL baru ini tidak bisa hanya meningkatkan kualitas kode mitra Microsoft, tetapi juga dapat menarik perhatian pada praktik keamanan Microsoft sendiri. "Mereka ingin menyebarkan sedikit kata," katanya.

Robert McMillan di San Francisco berkontribusi pada kisah ini.