Опыт Microsoft в области безопасности будет доступен сторонним разработчикам
Нарастающие и всё более опасные угрозы в области приложений заставляют Microsoft делиться своим опытом даже со сторонними разработчиками. Ее новые сервисы и инструментарий знакомят всех желающих со знаниями и умениями, накопленными в корпорации за четыре года реализации инициативы SDL (Security Development Lifecycle — жизненный цикл разработки средств защиты). Многие из таких новинок, как ожидается, станут доступны организациям уже в ноябре.
Как рассказал старший директор Microsoft по инженерной стратегии в области защиты Стив Липнер, SDL представляет собой процесс обеспечения безопасности ПО, помогающий в освоении программных средств защиты и необходимой для этого культуры производства. Реализация данной инициативы позволила корпорации повысить уровень безопасности своей ведущей продукции, включая Windows Vista и SQL Server. По утверждению представителей Microsoft, благодаря этой программе, а также стремлению инженеров писать предельно безопасные исходные тексты число выявленных брешей снизилось за период с начала 2007 г. по настоящее время в два раза.
Решение о распространении накопленного опыта среди разработчиков за пределами корпорации, по словам Липнера, было принято в рамках общей программы, нацеленной на создание более безопасной и доверительной экосистемы вычислений. С этой целью Microsoft делает руководства и инструментарий SDL, равно как и подготовку в этой области, доступными для любого специалиста. Она намерена делиться концепцией своей программы с независимыми разработчиками ПО, партнерами и потребителями, которые готовы трудиться над повышением защищенности и конфиденциальности такой экосистемы.
Делать это Microsoft планирует, в частности, посредством своей модели SDL Optimization Model. Кроме того, сейчас заканчивается разработка новой партнерской программы SDL и инструментария моделирования угроз. Обе новинки должны увидеть свет в ноябре.
“Как показывает практика, в процессе разработки ПО предприятия уделяют недостаточно внимания вопросам безопасности, — уверен Липнер, — и мы хотим изменить такое положение. Устранять ошибки и потенциальные проблемы гораздо легче на стадии создания продукции, чем после ее ввода в эксплуатацию”. С этой целью Microsoft уже предлагает SDL Optimization Model корпоративным заказчикам. “Это проверенная модель. Она позволяет организациям самостоятельно оценить, насколько полно у них используется опыт обеспечения безопасности, — продолжает Липнер. — Благодаря такой модели нетрудно взглянуть на то, что делается в компании и чем нужно будет заняться впоследствии”.
Главная цель SDL Optimization Model в том, чтобы облегчить независимым разработчикам пошаговую, непрерывную и рентабельную реализацию программы SDL. В этой модели состояние информационной безопасность в организации характеризуется четырьмя уровням зрелости: basic (базовый), standardized (стандартизированный), advanced (повышенный) и dynamic (динамичный). На базовом уровне обеспечение безопасности носит характер реагирования, тогда как на стандартизированном — упреждения. Повышенный уровень предполагает интегрированную безопасность, а динамичный — специализированную.
Чтобы стимулировать распространение своей модели, Microsoft также выделила в ней пять направлений, помогающих решать финансовые, плановые и кадровые проблемы разработки. Это, во-первых, подготовка специалистов, вопросы политики и организации процесса; во-вторых, выработка требований и конструирование; в-третьих, реализация проекта; в-четвертых, верификация и, в-пятых, выпуск продукции и обратная связь.
Учитывая, что угрозы безопасности поднимаются вплоть до уровня приложений, Microsoft также создала сеть SDL Pro Network, где руководства и передовой опыт SDL дополняются опытом в этой области других провайдеров. Новая сеть, как пояснил Липнер, объединяет поставщиков сервисов безопасности, специализирующихся на защите приложений, имеющих опыт работы в этом направлении, а также обладающих необходимыми знаниями методологии и технологий Microsoft SDL.
Через сеть SDL Pro Network оказывается целый ряд услуг по приведенным выше направлениям. При подготовке специалистов, выработке политики и организации процессов особое внимание уделяется вопросам безопасности. В области выработки требований и конструирования проводится анализ рисков и функциональных требований, моделирование угроз. Проблемы реализации затрагивают применение безопасных интерфейсов API, анализ кодов и их предварительный прогон, а в верификацию включено тестирование по fuzzing-технологии и сканирование Web-приложений.
Первыми участниками сети SDL Pro Network стали Cigital, IOActive, iSEC Partners, Leviathan Security Group, Next Generation Security Software, N.runs, Security Innovation, Security University и Verizon Business. “В нашу сеть входят поставщики сервисов безопасности, с которыми мы сотрудничаем и которых можем рекомендовать”, — пояснил Липнер.
Главный консультант и менеджер по работе с крупными заказчиками Next Generation Security Кев Данн отмечает, что его фирма вот уже пять лет консультирует Microsoft в области безопасности. Инициативу же SDL он считает вполне разумным шагом, направленным на включение элементов безопасности непосредственно в процесс разработки приложений. Главное ее достоинство Данн видит в том, что вопросы безопасности учитываются на протяжении всего процесса за счет предъявления самых строгих требований на этапах конструирования и реализации проекта разработки. Отмечает он и высокие стандарты тестирования защищенности программного обеспечения и его конфиденциальности.
Помимо всего перечисленного Microsoft выпустила еще и инструментарий моделирования угроз SDL Threat Modeling Tool 3.0. Эта новинка, по словам старшего менеджера программы SDL корпорации Адама Шостака, намного облегчает выполнение подобных операций непрофессионалами, предлагая набор руководств по созданию моделей угроз и их анализу. К тому же инструментарий хорошо интегрируется с системами отслеживания программных ошибок, благодаря чему моделирование угроз включается в стандартный процесс разработки. При такой интеграции программистам становится легче воспринимать бреши в безопасности как неполадки программы, а борьбу с ними — как одно из свойств ПО. Программные ошибки и свойства знакомы любой команде разработчиков, а это значит, что ей будет намного проще вписать в свой процесс вопросы безопасности.
“Мы пользуемся этим инструментарием внутри компании с июня”, — отмечает Шостак. Вся же его история насчитывает уже добрый десяток лет.
Microsoft и безопасность
Крупнейший производитель ПО готов поделиться тем, что сам познал при реализации программы Security Development. С этой целью Microsoft выдвинула ряд инициатив.
— Модель оптимизации SDL Optimization Model — открывает перед сторонними организациями путь к реализации SDL, позволяет оценить уровень корпоративной безопасности (базовый, стандартизированный, повышенный и динамичный). Станет доступна в ноябре.
— Инструментарий моделирования угроз SDL Threat Modeling Tool 3.0 — упрощает задачу моделирования угроз неспециалистами, показывая им, как разрабатывать и анализировать модели угроз. Выпуск намечен на ноябрь.
— Сеть SDL Pro Network — открывает сервис-провайдерам доступ к руководствам и передовому опыту, который Microsoft накопила при реализации программы SDL. Предлагаются услуги по подготовке персонала, информация о конструировании и реализации.
Кроме того, Microsoft разрабатывает партнерскую программу SDL.
Источник: Microsoft.