Microsoft уверена, что вопросы ИТ-безопасности должны быть в центре внимания уже на самых начальных этапах разработки ПО, а контроль защищенности кода должен входить в обязательный набор требований к поддержке всего жизненного цикла программ. Вполне понятно, что компания, являясь крупнейшим вендором софта, уделяет большое внимание методическим вопросам разработки безопасного ПО и, что важно, активно продвигает результаты своих исследований в этой области в широкое сообщество независимых разработчиков.
В начале нынешней осени Microsoft решила обнародовать свою методику Security Development Lifecycle (SDL), которую сама использует с 2004 г. для создания таких своих флагманских продуктов, как Windows Vista, Visual Studio и SQL Server. Комментируя эти намерения, старший директор стратегии безопасного инжениринга Стив Липнер (Steve Lipner) подчеркнул, что создание надежного кода связано не только с применением формальных правил и процессов, но с формированием соответствующей корпоративной культуры.
Он также сообщил, что концепция SDL будет представлена в виде нового набора методических рекомендаций SDL Optimization Model, инструментов разработки и учебных курсов. Оптимизационная модель SDL охватывает все ключевые аспекты разработки ПО: обучение программистов, определение политики и организации процесса разработки, управление требованиями и проектированием, внедрение, верификация, управление версиями и отслеживание пожеланий пользователей. Для моделирования вычислительных потоков Microsoft обещает выпустить новое средство SDL Threat Modeling Tool 3.0.
Все это будет доступно участникам партнерской SDL-программы, которая должна начать действовать с ноября. Особый акцент будет сделан на приобщении к этой инициативе предприятий, которые ведут внутренние разработки для собственных нужд, но при этом, по мнению Microsoft, уделяют недостаточно внимания вопросам безопасности кода. Кроме того, Редмонд объявил о создании сетевого сообщества SDL Pro Network, призванное объединить профессиональных сервис-провайдеров в области безопасности для обмена опытом и совместной выработки рекомендаций по созданию безопасного кода.
Кстати, в плане обеспечения надежного кода очень интересен опыт команды разработчиков последней версии Visual Studio 2008, выпущенной в конце прошлого года: создание VS 2008 выполнялось с помощью самого же VS 2008. Точнее, дело было так: первый предварительный вариант (для внутреннего использования) был сделан с помощью VS 2005, но затем начался итерационный процесс, когда следующая версия инструмента создавалась с помощью предыдущей.