Grassland @ フリーBGM DOVA-SYNDROME OFFICIAL YouTube CHANNEL
マイクロソフトは、ソフトウェアのセキュリティ問題の数を減らすために、過去数年間に使用したツールと方法を間もなくリリースする予定です。
Microsoftは2001年ごろから真剣にセキュリティを守り始めました。電子メールサーバーをクラッシュさせ、ボットネットを作成し、ユーザーのパスワードを盗み出し、企業に多額の損害を与えた悪意のあるワームや自己増殖型プログラムの猛烈な波に晒されています。
Bill Gatesは2002年初頭にTrustworthy Computing Initiativeを立ち上げました2年後、セキュリティ開発ライフサイクル(SDL)と呼ばれるもの、または防弾コードを確実に作成するためのプロセスを洗練しました。
SDLの使用により、セキュリティ脆弱性の数が減少しましたマイクロソフトの信頼できるコンピューティンググループのセキュリティエンジニアリング戦略担当シニアディレクター、スティーブ・リプナー氏は、Windows Vistaオペレーティングシステムとそのデータベースプログラムの1つであるSQL Serverを以前のバージョンと比較して説明しています。
SDLからISVへの拡張マイクロソフトのプラットフォーム上でサードパーティ製のアプリケーションを使用している人は、Microsoftなどの企業のために、顧客だ」とLipner氏は語った。 「私たちは、コンピューティングの経験を安全で安全なものにしたいと考えています。」ツールのうちの2つは無料です。 SDL最適化モデルは、組織のセキュリティ開発プラクティスを評価するアンケートとチェックリストです。
Microsoftは11月にSDL WebページにダウンロードするためにSDL最適化モデルを提供する予定である
Lipner氏によると、SDLに侵入したいと思っている人のための素晴らしいリソースとなるだろう」とLipner氏は言います。
もう一つの無料サービスはSDL Threat Modeling Tool 3.0と呼ばれるアプリケーションで、ソフトウェアセキュリティに精通していない設計者が設計しているソフトウェアの潜在的なセキュリティ問題を発見することができます。
"あなたが開発者であれば、「攻撃者のように考える」のようなことは助けになりません」と、セキュリティ開発ライフサイクルチームのシニアプログラムマネージャ。
このアプリケーションにより、ソフトウェアアーキテクトはデータフローなどの図を図にすることができます。マイクロソフトでは、セキュリティ技術者がソフトウェアを操作する際に従うプログラムルールをコード化しています。 Shostackによれば、脅威モデリングツールのユーザーは即座のフィードバックを得ることができます。 Microsoftはこのツールを11月にMicrosoft Developer Networkのダウンロードセンターに導入する予定です。
最後の要素は、SDLで他の企業に助言できる企業グループの形成です。 SDL Pro Networkは、9つのセキュリティサービスプロバイダ、コンサルタント、トレーニング企業からなるグループです。ネットワークは、ISVや企業に、社内で開発したソフトウェアのコーディングに関するテスト方法をアドバイスできます。 Lipnerによると、SDL Pro Networkは11月にパイロットフェーズを開始します。
「マイクロソフト以外の組織には、SDLを推進したい組織にとって大きなリソースになると信じている」とLipner氏は述べている。
ほとんどのサードパーティのWindowsソフトウェアは、SDL Pro Networkメンバーn.runsのJan Muenther CTOと述べた最新のセキュリティ手法を使用して書かれていません。 「マイクロソフト自身が独自のコードを確保するために多くの努力を払ってきたが、第三者から取得したコードが同じ品質レベルに一致しないことがある」とMuenther氏は考えている。マイクロソフトのパートナーコードの品質を向上させるだけですが、マイクロソフト独自のセキュリティ対策にも注意を払う可能性があります。 "彼らは少し言葉を広げたい"と彼は言った。
サンフランシスコのロバート・マクミランがこの話に貢献しました。