Microsoft поможет разработчикам создавать более безопасные программы

Непрерывная эволюция угроз вынуждает разработчиков уделять все больше внимания безопасности приложений. С целью помочь разработчикам в данном вопросе, Microsoft популяризует собственный Security Development Lifecycle и расширяет SDL Pro Network.

Сегодняшние злоумышленники не пытаются показать свое превосходство над программными инженерами – теперь, в отличие от конца 90-х, они преследуют исключительно меркантильные интересы и готовы использовать для этих целей уязвимости любого ПО. Согласно данным Microsoft Security Intelligence Report v7 в первой половине 2009 г. 5% выявленных уязвимостей пришлось на продукты Microsoft, 14% – на браузеры и 81% – другие приложения.

В конце 90-х гг. платформа Microsoft Windows стала наиболее популярной мишенью вирусописателей и киберпреступников. После проблем связанных с распространением в 2001 г. червей Nimda и Code Red. В январе 2002 г. компания Microsoft сформировала TwC Group, одной из задач которой стало обеспечение безопасности на протяжении всего цикла разработки. Именно эта группа отвечает за Security Development Lifecycle (SDL), процесс разработки приложений, который минимизирует вероятность появления уязвимостей в разрабатываемом ПО, в 2004 г. SDL стал обязательным для всех продуктов Microsoft. В апреле 2008 г. SDL Group выпустила четыре инструмента (SDL Threat Modeling для моделирования угроз, регистратор Minifuzz, анализатор двоичного кода Binscope и SDL Process Template for Visual Studio Team System).

Релиз инструментария, документации и инструкций по внедрению SDL в процесс разработки состоялся 2 февраля 2010 г. на Black Hat DC.