Ряд крупных компаний, специализирующихся в области разработки ПО, поддержал инициативы, которые должны упростить небольшим софтверным фирмам внедрение процессов разработки защищенного программного обеспечения.
Microsoft объявила о поддержке международного стандарта безопасной разработки ПО, а группа представителей индустрии предложила бесплатную программу обучения разработчиков.
В первый день Security Development Conference, пришедшийся на 14 мая, корпорация Microsoft объявила о своей поддержке международного стандарта ISO 27034, определяющего процессы и практики такой разработки. Одновременно отраслевая ассоциация SAFECode (Software Assurance Forum for Excellence in Code), продвигающая передовые практики разработки, сообщила о готовности первых учебных модулей, создаваемых в рамках бесплатной веб-программы подготовки разработчиков ПО и предназначенных для освоения практик безопасного кодирования.
Тем самым крупные софтверные вендоры подчеркивают важность принятия мер по обеспечению защиты ПО с первых стадий его разработки, пояснил представителю eWeek Тим Райнс, возглавляющий в Microsoft направление Trustworthy Computing. “Мы считаем, что компании не могут больше позволять себе выполнение бизнес-операций в режиме онлайн, не поставив во главу угла вопросы безопасности, — заявил он. — Разработчикам следует ознакомиться с данным стандартом ISO. Соответствующие материалы и инструменты предлагаются бесплатно”.
Microsoft всерьез озаботилась проблемами создания защищенного ПО с тех пор, как сооснователь корпорации, а впоследствии член совета директоров Билл Гейтс выступил с инициативой Trustworthy Computing (это произошло в 2002 г.), обратившись к сотрудникам компании с призывом ставить вопросы безопасности ПО выше его функциональности, именно им уделяя внимание в первую очередь. Это принесло свои результаты: Microsoft оказалась единственной компанией, которой, согласно исследованию NSS Labs, удалось в 2012 г. уменьшить число уязвимостей в своем ПО по сравнению с усредненным за последнее десятилетие показателем.
Еще в ноябре 2011-го Международная организация по стандартизации (ISO) выпустила первую часть документа по технологиям безопасного программирования — 27034-1. Этот документ, в котором дается обзор элементов процесса безопасной разработки ПО, может стать хорошим подспорьем для компаний, стремящихся определить набор требований к безопасности приобретаемого ими ПО. А для разработчиков он может послужить отправной точкой для формирования программ, направленных на повышение защищенности создаваемых приложений.
“Мы видим в этом выгоды как для поставщиков программного обеспечения, так и для тех, кто его приобретает, поскольку стандарт позволяет обеим сторонам говорить на одном языке, когда обсуждаются практики безопасной разработки ПО, — пояснил Райнс. — Стандарт фокусируется именно на разработке ПО и является первым среди такого рода стандартов, который описывает процессы и инструменты, действительно необходимые для формирования комплексного подхода к созданию защищенного ПО”.
На Security Development Conference было также объявлено о готовности шести учебных модулей, позволяющих программистам и менеджерам проектов ознакомиться с практиками безопасной разработки программного обеспечения. Модули разработаны по инициативе ассоциации SAFECode, которая объединяет ряд технологических компаний, заинтересованных в повышении безопасности софтверных и аппаратных продуктов, и в числе прочих позволяют обеспечить защиту от подделки запросов, защиту паролей и контроль доступа в Windows. Все они представлены на специально созданном новом веб-сайте (https://training.safecode.org), а по содержанию являются вводными, в силу чего снабжены индексом 101. В дальнейшем на сайте появятся углубленные курсы с индексами 201 и 301, сообщил изданию eWeek Ховард Шмидт, исполнительный директор SAFECode, а в прошлом советник по вопросам кибербезопасности в администрации Белого дома. “Важно, чтобы ИТ-менеджеры, которые сами, может быть, и не занимаются разработками, но управляют коллективами программистов, хорошо понимали, что вопросы безопасности нельзя откладывать на потом и заниматься ими необходимо с самого начала проекта”, — пояснил он.
Спонсором программы обучения является компания Adobe, которая в 2009 г. выступила со своей инициативой в области обеспечения безопасности ПО. Компания пересмотрела собственные практики разработки и сосредоточилась на том, чтобы затруднить злоумышленникам использование ее широко распространенных продуктов Acrobat и Flash для атак на системы пользователей.