Методика разработки безопасных программ Microsoft

Подход корпорации Microsoft (www.microsoft.com) к вопросам ИТ-безопасности заключается в том, что эти вопросы должны быть в центре внимания уже на начальных этапах разработки ПО и контроль защищенности кода должен входить в обязательный набор требований к поддержке всего жизненного цикла программ. Корпорация объявила о намерении обнародовать свою методику Security Development Lifecycle (SDL), которую сама использует с 2004 г., в том числе при создании таких продуктов, как Windows Vista, Visual Studio и SQL Server.

Концепция SDL будет представлена в виде нового набора методических рекомендаций SDL Optimization Model, а также инструментов разработки и учебных курсов. Оптимизационная модель SDL охватывает все ключевые аспекты разработки ПО: обучение программистов, определение политики и организации процесса разработки, управление требованиями и проектирование, внедрение, верификация, управление версиями и отслеживание пожеланий пользователей. Для моделирования вычислительных потоков Microsoft обещает выпустить новое средство SDL Threat Modeling Tool 3.0.

Все это будет доступно участникам партнерской SDL-программы, которая должна начать действовать с ноября. Особый акцент будет сделан на приобщение к этой инициативе предприятий, которые ведут внутренние разработки для собственных нужд, но при этом, по мнению Microsoft, уделяют недостаточное внимание вопросам безопасности кода. Кроме того, корпорация объявила о создании сетевого сообщества SDL Pro Network, которое должно объединить профессиональных сервис-провайдеров в области безопасности для обмена опытом и совместной выработки рекомендаций по созданию безопасного кода.