إصدارات Microsoft أدوات الأمان الداخلي ، الأساليب

ستقوم Microsoft قريبًا بإصدار أدوات وطرق استخدمتها على مدى السنوات القليلة الماضية لتقليل عدد مشكلات الأمان في برامجها.

بدأت Microsoft في أخذ الأمان على محمل الجد في عام 2001. فتح مشاكل الترميز في برنامجها الباب إلى موجة جديدة مكثفة من الديدان الخبيثة ، أو برامج نشر ذاتية التي تحطمت خوادم البريد الإلكتروني ، وخلق شبكات بوت نت ، وسرقت كلمات مرور المستخدمين ، مما تسبب في أضرار باهظة للشركات. > ردا على ذلك ، أطلق بيل غيتس مبادرة الحوسبة الموثوق بها في أوائل عام 2002 وبعد عامين ، قامت الشركة بتكرير ما تسميه "دورة حياة التطوير الأمني" (SDL) ، أو عملياتها لضمان أنها تكتب رمزًا مضادًا للرصاص.

أدى استخدام SDL إلى تقليل عدد نقاط اختراق الأمان وقال ستيف ليبنر ، كبير مديري إستراتيجية هندسة الأمن لمجموعة مايكروسوفت الحوسبة الموثوقة.

توسيع نظام SDL إلى ISV (في نظام التشغيل Windows Vista و SQL Server ، أحد برامج قواعد البيانات الخاصة به ، مقارنة بالإصدارات القديمة من البرنامج). يقول ليبنر: "إذا استخدم شخص ما تطبيقًا تابعًا لجهة خارجية على النظام الأساسي لـ Microsoft ، فستبقى شركة Microsoft" ، كما يقول بائعو البرامج المستقلون) ومطورو آخرون للمؤسسات ، مثل البنوك ، يعزز الثقة في Microsoft والبرامج المصممة لنظام التشغيل Windows. العميل ، "Lipner قال. "نحن نريد أن تكون خبرتهم في مجال الحوسبة آمنة ومأمونة."

اثنان من الأدوات مجانيان. نموذج تحسين SDL عبارة عن استبيان وقائمة تحقق لتقييم ممارسات تطوير الأمان في المؤسسة. ينظر إلى كيفية استجابة الشركة للتنبيهات الأمنية الجديدة والتصحيحات ، وقضايا مثل التدريب ونماذج التهديد.

ستقدم Microsoft نموذج تحسين SDL للتحميل على صفحة ويب SDL الخاصة بها في نوفمبر.

"نعتقد أن هذا هو "سيكون مصدرًا رائعًا للأشخاص الذين يرغبون في الدخول إلى SDL ويحتاجون إلى معرفة كيفية البدء" ، قال ليبنر.

التطبيق الآخر هو تطبيق يسمى أداة نمذجة التهديد SDL 3.0 ، والذي سيساعد البرامج وقال آدم شوستاك: "إن المهندسين المعماريين الذين ليسوا على دراية بالأمن يكتشفون مشكلات الأمان المحتملة في البرامج التي يقومون بتصميمها.

" إذا كنت مطورًا ، فأخبرنا بأشياء مثل "فكر كمهاجم" لا يساعدك. مدير البرنامج الأول لفريق تطوير دورة حياة الأمن.

يتيح التطبيق لمخططات الرسوم البيانية لمخططي البرمجيات مثل تدفق البيانات. قامت Microsoft بترميز قواعد البرامج التي سيتبعها مهندسو الأمان عند العمل مع البرامج. وقال Shostack مستخدمي أداة النمذجة التهديد الحصول على ردود الفعل الفورية. ستضع Microsoft الأداة على مركز تنزيل Microsoft Developer Network في نوفمبر.

العنصر الأخير هو تشكيل مجموعة من الشركات التي يمكنها تقديم المشورة للشركات الأخرى على SDL. شبكة SDL Pro عبارة عن مجموعة من تسعة مزودي خدمات أمن واستشارات وشركات تدريب.

يمكن للشبكة أن تنصح ISV والشركات على طرق اختبار برامجهم المطورة داخليًا لمشكلات التشفير. وقال ليبنر إن شبكة SDL Pro ستبدأ مرحلة تجريبية في نوفمبر. وستحصل تلك الشركات على أموال إما من خلال رسوم استشارية تقليدية أو فاتورة من خلال خدمة الاشتراك.

<> نحن نعتقد أنها ستكون مصدرًا رائعًا للمؤسسات خارج Microsoft التي ترغب في المضي قدمًا باستخدام SDL ، "Lipner قال.

معظم برامج Windows الغير مكتوبة باستخدام ممارسات الأمان الحديثة قال Jan Muenther ، [cq] CTO مع n.runs عضو شبكة SDL Pro. وقال: "في حين أن مايكروسوفت بذلت جهداً كبيراً في تأمين رمزها الخاص بها ، فإن الرمز الذي تحصل عليه من أطراف ثالثة لا يتطابق في بعض الأحيان مع نفس مستوى الجودة."

يعتقد مونتر أن برامج SDL الجديدة هذه لا تستطيع فقط تعزيز جودة رمز شركاء Microsoft ، ولكنه قد يلفت الانتباه أيضًا إلى ممارسات أمان Microsoft نفسها أيضًا. وقال "انهم يريدون نشر الكلمة قليلا."ساهم روبرت مكميلان في سان فرانسيسكو في هذه القصة.