Nyheter om SDL


Det borde inte komma som någon överraskning att de senaste årens attacker på internet har flyttats uppåt i applikationslagren, allt eftersom operativsystemen har blivit säkrare. Som ett resultat av det skiftet så märks också tydligare önskemål och krav från kunder att lösningar som utvecklas eller införskaffas har byggt och programmerats med högre krav på säkerhet än tidigare, och att utvecklare generellt bör skaffa sig en större förståelse för säkerhetstekniker och säker utveckling.

Kände du till att under sitt första år på marknaden så har Windows Vista innehållit (identifierade) 66 sårbarheter i förhållande till 119 som hittades i Windows XP under dess första år. Det är en minskning med 45 procent. När det gäller Internet Explorer så har minskningen där varit 35 procent i totala sårbarheter och en minskning med hela 63 procent om vi bara räknar sårbarheter med hög risk. Det kanske mest intressanta är att Microsofts andel av marknadens totala antal sårbarheter har minskat från 4,2 procent under första halvan av 2007 till 2,7 procent under första halvan av 2008, vilket placerar Microsoft på tredje plats från att ha varit på första plats tidigare (det är inte bättre att vara högt på prispallen direkt i det här fallet), och vi har inte direkt släppt mindre mjukvara den senaste tiden vågar jag nog påstå.

Det finns ett direkt skäl till den här förbättringen och det är vår egen implementation av SDL.

Microsofts Security Development Lifecycle (SDL) process har märkbart förbättrat våra egna lösningar under åren som har gått och till och med lett till att Microsoft ses av många på marknaden som ledande inom området. Detta har i sin tur också lett till att vi har dokumenterat och delat med oss av våra erfarenheter under en längre period och nu kommer några relevanta och intressanta uppdateringar:

1) SDL Optimization Model
En modell för att ge utvecklare en möjlighet att inventera sin process och sina interna resurser för att lättare och tydligare kunna ge rekommendationer för hur organisationen ska kunna införa SDL, kostnadseffektivt och konsekvent.

2) SDL Pro Network
Ett nätverk av organisationer som guidar och stöttar utvecklare vid implementationen av SDL i sin egen miljö och process. För närvarande är nio organisationer delaktiga under inledningsfasen av nätverket.

3) En beta av Microsoft SDL Threat Modeling Tool
Ett verktyg som för närvarande är under utveckling och som har som mål att erbjuda en tidig och strukturerad analys och proaktivt skydd mot potentiella säkerhetsutmaningar i nya och befintliga applikationer. Med hjälp av verktyget kan organisationen skapa diagram över hotbilder samt integrera processen med buggrapportering och tydlig rapportering. Ambitionen är att få aktiviteten av hotbildsmodellering att kunna genomföras effektivt av vilken mjukvaruarkitekt som helst utan expertkompetens i området.

SDL är ett av de initiativ som jag själv anser vara mest till gagn för communityn av utvecklare på marknaden från Microsoft och som samtidigt är enklast att vara stolt över internt, baserat på Microsofts historia runt säkerhet och i synnerhet på hur oerhört mycket bättre det har blivit på senare år.

Vill du lära dig mer om SDL och hur din egen organisation kan ta del av resurserna, besök www.microsoft.com/sdl

Skip to main content