Start Empfohlen Microsoft veröffentlicht Prozessvorlage für den Sicherheitsentwicklungslebenszyklus mit kostenlosen Dokumenten

Microsoft veröffentlicht Prozessvorlage für den Sicherheitsentwicklungslebenszyklus mit kostenlosen Dokumenten

21
0


Am Dienstag hat Microsoft sein Security Development Lifecycle (SDL) Process Template und die Dokumentation zur neuen 4.1 SDL-Version kostenlos für alle Anwendungsentwickler freigegeben – auch für diejenigen, die die Entwicklungstools des Unternehmens nicht verwenden.

Microsoft ist nicht das erste Unternehmen, das über die Einführung einer Sicherheitsprüfung nachdenkt irgendwo im Entwicklungsprozess, aber dafür gibt es keinen branchenweiten Standard; selbst das SESC-Framework der IEEE hat keine nennenswerten Hinweise auf Sicherheitsbedenken gegeben. Die Idee von Microsoft besteht darin, Sicherheitsbedenken in jeden Schritt des Entwicklungsprozesses zu integrieren, und Microsoft zählt sechs davon: Projektanforderungen festlegen, Design, Implementierung, Verifizierung, Freigabe und Reaktion (Support und Service).

Die Prozessvorlage umfasst verschiedene Tools und Komponenten, darunter sicherheitsbewusste Check-in-Richtlinien, Anleitungen zum Anpassen eines SDL-Sicherheitsplans für das in Entwicklung befindliche Produkt, Hilfe zur Risikobewertung und Bedrohungsmodellierung und dergleichen. Es kann SDL-Anforderungen als Arbeitselemente installieren und lässt sich in viele Tools von Drittanbietern integrieren. Die Dokumentation, die jeder herunterladen kann, bietet jedem Entwickler, der es möchte, einen detaillierten Blick darauf, wie Microsoft seinen Entwicklungslebenszyklus gestaltet, um den Sicherheitsaufwand in den Prozess zu maximieren, ohne Nervenzusammenbrüche im Entwicklerteam zu verursachen.

Die SDL, die aus dem sieben Jahre alten Trustworthy Computing-Projekt hervorgegangen ist, ist seit 2004 für Microsoft-Entwickler, die an Projekten der Internet- oder Enterprise-Klasse arbeiten, obligatorisch, als es äußerst klar wurde, dass das Unternehmen eine Reihe von wiederholbaren, quantifizierbare Prozesse zum Mischen Erdnussbutter und Schokolade Entwicklungszyklus und Sicherheitsüberprüfung. (XP Service Pack 2 und das .NET Framework waren zwei frühe Projekte, die unter dem System entwickelt wurden.)

Der daraus resultierende Rückgang der seit der Veröffentlichung entdeckten Microsoft-Schwachstellen war auffällig. Laut Microsoft-Statistiken sind im ersten Jahr nach der ersten Veröffentlichung von XP 119 kritische oder wichtige Sicherheitslücken aufgetreten; im ersten Jahr nach der Einführung von Vista wurden nur 66 gesichtet.

Mit der Verbreitung der SDL-Implementierung nahmen auch die Verbesserungen zu, wobei die Schwachstellen in IE7 und SQL Server 2005, beides Versionen aus der SDL-Ära, stark zurückgingen. (Insbesondere die Zahlen von SQL Server sind auffällig, mit nur 3 offengelegten Schwachstellen für 2005 in den ersten drei Jahren, verglichen mit 34 in den ersten drei Jahren von SQL Server 2000 – ein Rückgang von 91 % alle Sicherheitslücken und ein Rückgang der Sicherheitslücken auf kritischer oder wichtiger Ebene um 63 %.) Laut den IBM X-Force-Berichten 2007 und 2008 sank der Anteil von Microsoft an den offengelegten Sicherheitslücken weltweit von 4,2 % im ersten Halbjahr 2007 auf 2,5% ein Jahr später – vom ersten Platz (in einem Wettbewerb will niemand gewinnen) bis zum dritten.

Mit fünf Jahren und einer soliden Erfolgsbilanz unter dem Gürtel von SDL hat Microsoft versucht, einen Teil seiner Erkenntnisse mit der Außenwelt zu teilen, auch wenn die Außenwelt andere Entwicklungstools verwendet. Es geht um Prozesstransparenz, ja, aber es gibt auch einen ganz praktischen Aspekt: ​​Hacker zielen heute überwiegend auf Anwendungen, nicht auf Betriebssysteme.

„Es ist einfach besser für das Ökosystem“, sagt David Ladd, Principal Security Manager des SDL-Teams, zumal Entwickler im Allgemeinen von ihren Kunden das Richtige tun wollen – d. h. ihnen nicht gefährliche Software verkaufen und scheitern.

Eine Gartner-Studie aus dem Jahr 2007 zeigt, dass jede Hilfe, „das Richtige zu tun“, wahrscheinlich nützlich wäre. In der Umfrage des Unternehmens führten erstaunliche 70 % der Unternehmen, die Sicherheitstests durchführten, dies auch an Versand Produkte. Niemand in dieser Studie dachte in der Designphase an Sicherheit und nur 10 % befassten sich mit Problemen während der Implementierung, während die restlichen 20 % bei den Überprüfungen vor der Veröffentlichung auf einen Blick rutschten.

Im Gegensatz dazu spezifiziert die SDL 13 wichtige Phasen über die sechs Phasen des Entwicklungslebenszyklus, von frühzeitigen Kosten-, Risiko- und Angriffsflächenanalysen über Fuzz-Tests, wiederholte Datenschutzprüfungen bis hin zur Reaktionsplanung, wenn das Produkt in den Markt kommt.

„Der Datenschutz ist für SDL ein vollwertiger Partner für Sicherheit“, sagt Ladd, der die Aufmerksamkeit einer Vielzahl von Unternehmen auf sich ziehen sollte, die neue Vorschriften unheilvoll beobachten.

Entwickler und Sicherheitsleute werden natürlich im Allgemeinen als sich gegenseitig feindliche Supermodels und Cheeseburger angesehen. Aber Ladd sagt Betanews, dass dies nicht nur eine schlechte Einstellung, sondern ein unfaires Stereotyp ist; seit der SDL bei Microsoft implementiert ist, ist jeglicher Rückstoß von Entwicklern längst auf der Strecke geblieben. Es hilft, dass die SDL darauf ausgelegt ist, Sicherheitsdenken in die Weltsicht der Entwickler zu übertragen. „Insofern der Prozess nicht fragt [developers] Dinge zu tun, die keinen Sinn ergeben, sind in Ordnung“, sagt Ladd.

Der Prozess fügt etwas Overhead hinzu, insbesondere am Anfang; Ein Entwickler, mit dem Betanews sprach, schätzte, dass die Lebenszykluskosten für die Projekte dieses Unternehmens beim ersten Mal um etwa 20 % gestiegen sind und sich im Laufe der Zeit verbessert haben. Auf der anderen Seite liefert der Prozess sowohl überprüfbare Informationen zu Sicherheitsanforderungen und -status, kann aber auch eine Kapitalrendite für Sicherheitsausgaben nachweisen. Negatives beweisen – wie viele Angriffe auf ein Unternehmen? nicht leiden – ist ein notorisch miserables Problem für die Sicherheit, insbesondere zu Budgetzeiten; der SDL bietet Metriken.

Ebenfalls am Dienstag gab das SDL-Team bekannt, sein „SDL Pro Network“ um zwei Mitglieder zu erweitern. Dieses Pilotprogramm wurde im September mit neun Schulungs- und Beratungsmitgliedern (IOActive, Leviathan, iSEC Partners, Verizon Business, Cigital, Security Innovation , Security University, Großbritanniens Sicherheitssoftware der nächsten Generation und Deutschlands n.runs).

Die beiden neuesten Mitglieder sind SAIC, einer der größten Tech-Auftragnehmer der Bundesregierung, und SANS, bekannt für seine Schulungsprogramme. Bei beiden handelt es sich um Unternehmen aus dem DC-Raum, die in den aktuellen Cybersicherheitsdiskussionen dort stark vertreten sind; es wäre nicht Microsoft, wenn es da nicht zumindest einen Hinweis darauf gäbe, dass das Unternehmen große Gedanken über eine große Zukunft für sein praxiserprobtes SDL denkt.



Vorheriger ArtikelApple, Java und die gefräßige Bugblatter-Bestie von Traal
Nächster ArtikelDer neueste BSA-Bericht: Mehr gebildete Verbraucher werden Piraterie vereiteln

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein