:

Szerző: Bizó Dániel

2009. május 25. 17:06

Biztonságosabb kódot eredményező fejlesztési folyamat a Microsofttól

A Visual Studio fejlesztői környezet rendelkezésére bocsátotta biztonsági modelljét a Microsoft, melyet saját fejlesztéseihez dolgozott ki az elmúlt évek során, és eddig házon belül használt.

A Microsoft múlt héten kiadta a Security Development Lifecycle (SDL) modelljét megvalósító első publikus eszközt, mely a Visual Studio Team Systembe oltja a biztonságos kódot produkáló folyamatot. Az SDL Process Template for Visual Studio Team System letölthető a Microsofttól.

A kódnak a VSTS-ben kell jelen lennie, mondta el a heise online brit kiadásának Glenn Pittaway, az SDL programvezetője. Pittaway szerint az SDL sablon alkalmazása a lehető legegyszerűbb, és olyanok számára is hatalmas segítséget jelent a biztonságos kód létrehozásában, akik különösebb biztonsági képzettséggel nem rendelkeznek.

A vezető elmondása alapján az SDL legújabb, 4.1-es kiadása az online alkalmazások körére koncentrált, melyek piaci és biztonsági szempontokból egyaránt előtérbe kerültek mára, hiszen jelentős támadási felületet biztosítanak. Az SDL projektekben lehetséges, hogy egyes bugok kijavítása, vagy bizonyos fázisokat adott résztvevőkhöz rendeljünk, továbbá a számunkra nem releváns fázisokat át lehet ugrani. Elképzelhető, hogy a Microsoft a jövőben más fejlesztői környeztek számára is elkészíti az SDL projektsablonját, ugyanakkor egyelőre visszajelzésekre várnak.

Az alkalmazások hordozzák a biztonsági rések 90 százalékát, ennek ellenére a fejlesztők közel háromnegyede semmiféle biztonsági tesztelésnek nem veti alá a kódot, állította Pittaway, pedig a megfelelő tervezés egy nagyságrenddel olcsóbb, mint a gondok utólagos kezelése. Az SDL-t a Microsoft 2004 alakította ki saját Windows- és alkalmazásfejlesztéseinek biztonsági szintjének megemelésére. A heise beszámolója alapján Dan Kaminsky biztonsági szakértő nyílt tekintettel állította a nyilvánosság előtt, hogy az SDL-nek köszönhetően drasztikusan javult a kódok minősége. Kaminskyt rendszeresen felkéri a Microsoft kódjainak auditálására.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

5

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.