Три последних анонса


Казалось, что океан технологии SDL был спокоен на протяжении выходных, но теперь мы рады сделать три анонса, которые, надеемся, поднимут волны в этом океане и привлекут внимание разработчиков и организаторов, которые хотят использовать SDL. Сообщения были сделаны сегодня во время конференции Black Hat в Вашингтоне:

1. Новая документация: Упрощенное внедрение Microsoft SDL

2. Новая программа: SDL Pro Network, категория «Инструменты» и новые участники

3. Новый инструмент: MSF for Agile Software Development + SDL Process Template for VSTS 2008

Упрощенная документация SDL

Начнем с выпуска документации по упрощенному внедрению Microsoft SDL. Одно из самых распространенных заблуждений насчет SDL: чтобы внедрить цикл безопасной разработки, необходимо иметь организацию, сопоставимую по размерам с Microsoft. Другое заблуждение: SDL применимо только для языков и платформ Microsoft, и вам придется использовать другую методологию, если вы пишете код на Ruby под ОС X. Упрощенная документация SDL поможет устранить эти заблуждения и объяснит, как процесс SDL может быть применен при ограниченных ресурсах и на любой платформе. Эта документация обозначает минимальный набор требований, при которых верны главные атрибуты SDL, и тем самым предоставляет эффективную модель построения эффективного цикла безопасной разработки в любой организации.

SDL Pro Network: категория «Инструменты безопасности» и новые участники

Наш второй анонс – расширение сети SDL Pro Network и включение в нее новой категории членства – «Инструменты», которая дополнит существующие категории «Консультанты» и «Обучение». Организации, представляющие категорию «Инструменты», могут производить инструменты безопасности, такие как утилиты статистического анализа, фаззеры, утилиты динамического или бинарного анализа. Инструменты безопасности являются особо важной частью цикла SDL, и мы очень рады, что теперь есть новая категория Pro Network, которая поможет организациям использовать свои инструменты и время более эффективно.

Также мы объявляем, что сеть Pro Network расширяется, и в ее состав входят семь новых участников:

· Fortify (Член группы «Инструменты»)

· Veracode (Член группы «Инструменты»)

· Codenomicon (Член группы «Инструменты»)

· Booz-Allen Hamilton (Член группы «Консультанты»)

· Casaba Security (Член группы «Консультанты»)

· Consult2Comply (Член группы «Консультанты»)

· Safelight Security Advisors (Член группы «Обучение»)

Мы приветствуем наших новых участников и надеемся, что вы выберете их или других членов Pro Network для получения консультаций, обучения или инструментов информационной безопасности.

MSF for Agile Software Development + SDL Process Template

Последний, но не менее важный анонс – выпуск первой публичной бета-версии новой MSF for Agile Software Development plus SDL Process Template for VSTS 2008 (MFS для методологии разработки Agile плюс шаблон процессов SDL для VSTS 2008), или, сокращенно, «MSF-A+SDL».Так же как и шаблон процессов SDL, который мы выпустили в прошлом году, этот шаблон помогает командам интегрировать безопасную методологию разработки непосредственно в среду разработки Visual Studio Team System. Тем не менее, MSF-A+SDL основан на новом процессе SDL-Agile. MSF-A+SDL снабжен также некоторыми совершенно новыми функциями из предложений к предыдущему шаблону процессов SDL:

· Автоматическая генерация рабочих элементов задач SDL при новых итерациях.

Если мы имеем дело с проектами Agile, которые могут существовать бесконечно долго (допустим, веб-приложение или облачный сервис без установленной «даты окончания»), то для проекта необходимо периодически заново выполнять требования SDL, как это и обозначено в SDL-Agile процессе. Шаблон MSF-A+SDL выполняет это и создает новые задачи безопасности для проекта всякий раз, когда пользователь добавляет новую итерацию.

· Автоматическая генерация рабочих элементов задач SDL для нового кода. В любой момент, когда новые проекты или веб-сайты Visual Studio подключены к репозитарию управления исходным кодом проектов MSF-A+SDL, шаблон сгенерирует новые требования SDL, соответствующие этому проекту. Например, если пользователь создает новый сайт на C#, то шаблон добавит такие требования, как отключение трассировки ASP.NET и подключение библиотеки AntiXss.

· Многое другое, о чем здесь будет скоро рассказано.

Если вы посетите конференцию Black Hat на этой неделе и захотите увидеть MSF-A+SDL своими глазами, то зайдите на выступление Брайана Салливана на тему «Безопасность в Agile, или как защитить приложения с использованием пятидневного цикла выпуска» в пятницу, 3 февраля в 1:45.

Вот несколько полезных ссылок на случай, если вы пропустили их в тексте:

Страница SDL Pro Network

Документация: упрощенное внедрение Microsoft SDL

MSF for Agile Software Development plus SDL Process Template for VSTS 2008 скачать бесплатно

Skip to main content