Biztonságosabb kódot eredményező fejlesztési folyamat a Microsofttól

A Microsoft múlt héten kiadta a Security Development Lifecycle (SDL) modelljét megvalósító első publikus eszközt, mely a Visual Studio Team Systembe oltja a biztonságos kódot produkáló folyamatot. Az SDL Process Template for Visual Studio Team System letölthető a Microsofttól.

A kódnak a VSTS-ben kell jelen lennie, mondta el a heise online brit kiadásának Glenn Pittaway, az SDL programvezetője. Pittaway szerint az SDL sablon alkalmazása a lehető legegyszerűbb, és olyanok számára is hatalmas segítséget jelent a biztonságos kód létrehozásában, akik különösebb biztonsági képzettséggel nem rendelkeznek.

A vezető elmondása alapján az SDL legújabb, 4.1-es kiadása az online alkalmazások körére koncentrált, melyek piaci és biztonsági szempontokból egyaránt előtérbe kerültek mára, hiszen jelentős támadási felületet biztosítanak. Az SDL projektekben lehetséges, hogy egyes bugok kijavítása, vagy bizonyos fázisokat adott résztvevőkhöz rendeljünk, továbbá a számunkra nem releváns fázisokat át lehet ugrani. Elképzelhető, hogy a Microsoft a jövőben más fejlesztői környeztek számára is elkészíti az SDL projektsablonját, ugyanakkor egyelőre visszajelzésekre várnak.

Az alkalmazások hordozzák a biztonsági rések 90 százalékát, ennek ellenére a fejlesztők közel háromnegyede semmiféle biztonsági tesztelésnek nem veti alá a kódot, állította Pittaway, pedig a megfelelő tervezés egy nagyságrenddel olcsóbb, mint a gondok utólagos kezelése. Az SDL-t a Microsoft 2004 alakította ki saját Windows- és alkalmazásfejlesztéseinek biztonsági szintjének megemelésére. A heise beszámolója alapján Dan Kaminsky biztonsági szakértő nyílt tekintettel állította a nyilvánosság előtt, hogy az SDL-nek köszönhetően drasztikusan javult a kódok minősége. Kaminskyt rendszeresen felkéri a Microsoft kódjainak auditálására.