SDL für Dummys

Mit einem neuen Dokument will Microsoft die weltweite Entwicklergemeinde überzeugen, dass der Secure Development Lifecycle (SDL) auch für kleinere Softwareschmieden sinnvoll ist.

In Pocket speichern vorlesen Druckansicht 74 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Uli Ries
  • Daniel Bachfeld

In einem neuen Versuch will Microsoft der weltweiten Entwicklergemeinde verdeutlichen, dass der Secure Development Lifecycle (SDL) nicht nur für große Softwareunternehmen, sondern auch für kleinere Softwareschmieden sinnvoll ist. Dazu haben die Redmonder ein Dokument mit dem Titel "Simplified Implementation of the Microsoft SDL" (PDF-Datei) veröffentlicht, das auch kleinere Entwicklerteams mit dem SDL vertraut machen soll. Statt in epischen, hundertseitigen Abhandlungen erklärt Microsoft nun kurz und knackig auf 18 Seiten, welche Minimalanforderungen man erfüllen muss, um dem SDL noch gerecht zu werden.

Offenbar ist bei Microsoft zur Erkenntnis gelangt, dass viele Programmierer den SDL als zu komplex und zu aufwändig erachten und ihn deshalb ignorieren. Dabei wäre es laut Microsofts Security Intelligence Report v7 (SIR) nötiger denn je, dass auch Entwickler außerhalb des Microsoft-Reiches auf die Sicherheit ihrer Anwendungen achten: 81 Prozent aller Sicherheitslücken wurden laut SIR in Anwendungen (ausgenommen Web-Browsern) entdeckt, davon 5 Prozent in Microsoft-Produkten. Alle übrigen Schwachstellen gehen auf das Konto von Browsern.

Schritt für Schritt will der neue Leitfaden zudem aufzeigen, dass der Einsatz des SDL keinen zeitlichen und finanziellen Mehraufwand bedeutet, um die eigenen Anwendungen sicherer zu machen. Da die Ratschläge und Vorgaben des SDL nicht Windows-spezifisch sind, sollen auch Programmierer, die auf anderen Plattformen entwickeln, vom SDL profitieren.

Gleichzeitig stellt Microsoft ein Template kostenlos zum Download, mit dem sich der SDL auch zusammen mit dem Microsoft Solutions Framework (MSF) für Agile Softwareentwicklung nutzen lässt. Das Template soll sämtlichen Code, der in die Visual Studio Team System (VSTS)-Umgebung eingecheckt wird, automatisch auf das Einhalten der SDL-Vorgaben abklopfen.

Außerdem sollen ab sofort auch externe Firmen die SDL-Nutzer mit Tools unterstützen. Hierzu wurde das SDL Pro Network um die Kategorie "Tools" erweitert. Im SDL Pro Network finden sich Firmen wie die deutsche nruns AG , die anderen Entwicklern beim Umgang mit dem SDL helfen sollen. Die ersten Mitglieder der Tools-Kategorie sind Fortify, Veracode und Codenomicon. (dab)