Microsoft will sichere Softwareentwicklung fördern
Der Software-Konzern Microsoft will Firmen mit kostenlosen Tools und über ein Partnerprogramm dabei unterstützen, einen sicherheitsorientierten Software-Entwicklungsprozess einzuführen.
Microsoft will Firmen dabei unterstützen, einen sicherheitsorientierten Software-Entwicklungsprozess einzuführen. Diese Bemühungen manifestieren sich in drei Komponenten, die Microsoft ab November 2008 bereit stellen will: eine neue Version des SDL Threat Modeling Tools, das SDL Optimization Model und schließlich das SDL Pro Network.
Seit Bill Gates' legendärer Rund-Mail vor sechs Jahren hat sich die Stellenwert des Themas Sicherheit bei Microsoft deutlich gewandelt. Eine der wichtigsten Konsequenzen war die Einführung des Security Development Lifecycle (SDL), den mittlerweile alle Microsoft-Produkte durchlaufen. Er beginnt beim Training der Entwickler, beeinflusst schon die Design-Phase und deckt dann mit Implementierung, Veröffentlichung und der Reaktion auf Fehler den kompletten Lebenszyklus der Software ab. Von den Erfahrungen mit diesem Konzept sollen nun auch andere Software-Hersteller profitieren.
Das SDL Threat Modeling Tool erlaubt es, die Architektur einer Software oder eines Dienstes grafisch darzustellen und hilft dabei, bereits in der Design-Phase potenzielle Gefahren aufzuspüren. Es richtet sich dabei weniger an Sicherheitsexperten als an Software-Architekten; ein Microsoft-Video illustriert die Arbeits- und Funktionsweise. Die Version 3.0 soll ab November zum kostenlosen Download bereit stehen.
Das SDL Optimization Model ist eine Art Leitfaden für die Einführung und Optimierung eines sicheren Entwicklungsprozesses, der sich an Microsofts Konzept und Umsetzung orientiert. Konkretere und praktischere Hilfestellung bei einem derartigen Schritt sollen im Rahmen des SDL Pro Networks neun Sicherheitsfirmen geben, mit denen Microsoft eng zusammenarbeiten will.
Neben Cigital, IOActive, iSEC Partners, Leviathan Security Group, Next Genertion Security Software, Security Innovation, Security University, Verizon Business gehört auch die in Oberursel ansässige deutsche Firma nruns zu dem auf ein Jahr beschränkten Pilotprogramm. Diese Dienstleister bieten dabei sowohl Trainings rund um das Thema SDL an, als auch projektbezogene Hilfestellung. (ju)
