安全开发微软分享SDL成果力推国际体系
微软安全开发(Security Development Conference)大会的第一天,来自企业、政府机构和学术机构的安全专业人士从世界各地赶来,学习、交流和分享已经证实的能够降低组织风险的安全开发实践。作为本次安全开发大会的首个主题演讲,Scott Charney阐述了安全开发生命周期(SDL)的发端、发展历史,以及安全开发生命周期(SDL)对开发造成的影响等情况。最后,Scott Charney表示,遵循ISO/IEC 27034-1将是微软的主要目标。
Scott Charney主题演讲
多年来,微软为了从源头解决旗下作业系统与应用程式漏洞的问题,他们一直致力于推动安全开发生周期(Security Development Lifecycle,(SDL))思维,并以自身导入经验来发展安全开发的生态体系。发展至今,安全开发生命周期(SDL)观念渐趋成熟,已经成为全球软件开发供应链不容忽视的重大议题,现在微软打算进一步推动基于国际标准的安全开发方式ISO/IEC 27034-1。
目前在微软可信赖计算事业部门担任企业副总裁的Scott Charney,藉由回顾微软过去十几年的安全开发生命周期(SDL)发展历程,分析他们如何一步步地将这样的观念,逐渐演进、落实在自身的软件产品开发上,以及如何同时促成软件产业为提升安全性而彼此协同合作。
而当前微软要推动的是将安全开发能够进一步标准化。通过国际标准的建立,微软企图能消弭以往实行安全开发过程中面临的障碍和鸿沟,一方面,借助全球安全专家的意见,并找出实施安全开发的重要因素,协助企业确保开发安全时也能兼顾到业务营运的层面;另一方面,也让CXO与IT相关事务的决策者,能够了解采用新开发流程的正面效益。
ISO/IEC 27034-1是第一套专门针对开发软件安全性所需流程与框架的国际标准,对于销售软件的业务来说,这套标准提供了通用的验证型态,并为采用安全开发流程框架的作法,提供清楚而简明扼要的大纲,同时可用来分辨自家产品与其他竞争产品之间的差异;对于购买软件或购买服务的用户而言,这样的标准,让采购者得以借此要求各产业、各平台与不同区域的供应商,都能要求他们落实安全开发。
微软如此强调ISO/IEC 27034-1,还有另一个原因,那就是在这套标准的附录中,已明确提到微软的安全开发生命周期(SDL),足以成为各单位遵循该标准的典范,这意味着采用微软安全开发生命周期(SDL),将更接近这项标准的遵循要求(2007年起,微软安全开发生命周期(SDL)已经可以提供外界使用)。也因此,微软同时宣布自己将遵循ISO/IEC 27034-1。
基于标准后,该如何移除安全开发导入的障碍?微软可信赖计算事业部门的软件安全合作总监Steve Lipner表示,微软会通过27个合作伙伴协助推动安全开发生命周期(SDL)的采用,另外,像SAFECode这样的组织也会提供教育训练,例如该单位最近已开始提供免费线上课程;微软本身也会提供免费套件,包含不针对特定平台的工具(如Threat Modeling、Attack Surface Analyzer等工具软件,以及安全开发生命周期(SDL) for Agile等文件指南)、资源与流程相关文件(像是Simplified 安全开发生命周期(SDL) 、安全开发生命周期(SDL) Quick Reference Guide)。
更多精彩内容
第2页:微软的安全开发生命周期(SDL)
微软的安全开发生命周期(SDL)已经实施了十年了。这段时间里发生了很大的变化。在过去的十年中,互联网使用人口已经由约3亿5千万增长到超过24亿。现在,开发人员的机会比以往任何时候都要多。Windows 8仍然相对较新,云尚处于采用的早期阶段,而新型的移动设备和平台已经出现了迅猛发展。虽然互联网创造了许多处理业务的全新机会和方法,但是它也为网络犯罪创造了地下温床。安全漏洞所引发的财务问题、知识产权损失、网站篡改和间谍活动已成为现在计算领域所面临的现实。
许多开发人员他们普遍认识到了安全开发的重要性。尽管如此,有证据表明,大多数组织仍然没有将安全开发采纳为基础业务原则。最近微软对全球2200多名专业人员和490名开发人员进行了调查。调查发现,只有37%的专业人员声称他们的组织在提供产品和服务时考虑安全问题。此外,61%的开发人员没有利用已存在的缓解技术,如ASLR、SEHOP和DEP等。多年来,这些缓解技术一直是免费向业内提供的,并且经常作为现有开发实践的简单补充但是现在仍然只有少数开发人员在利用这些技术。所有使用互联网的人都应该对此感到担忧。
此外,调查显示,阻碍各组织采用安全开发流程的最大障碍为:
1)缺少管理审批;
2)缺少培训和支持;
3)成本。
在安全开发大会上,微软和其他组织正采取措施消除这些障碍,并为缩小在采用安全开发方面的差距提供帮助。
管理审批
标准化和遵从性有助于克服许多涉及管理审批的障碍。国际标准化组织(ISO)和国际电工委员会(IEC)认识到了关于安全开发流程标准化的必要性并发布了ISO/IEC 27034-1。这个新的国际标准是同类中首个将重点放在构建全面的软件安全程序时,所必需的流程和框架的标准。
ISO/IEC 27034-1是朝着安全的正确方向迈出的重要一步,并且为各个组织开创了许多可能性。微软认识到了这一安全开发方面的重要里程碑并于今天通过其《符合性声明》宣布微软的安全开发生命周期(安全开发生命周期(SDL))遵守ISO 27034-1。我们希望能够通过公开遵守这一标准而成为其他企业看齐的榜样,从而为安全开发做出贡献。
对于从事软件开发或销售的企业,这一标准为安全开发实践提供了一种通用验证语言,为采用安全开发框架提供了明确而简单的大纲,并且能够在市场上成为竞争优势。
对于从供应商手中购买软件和服务的客户,这一标准为要求进行跨行业、跨平台和跨地区安全开发的购买者提供了一种“语言”
培训和支持
微软在其 安全开发生命周期(SDL) 网站上提供免费的可下载工具和指南,其中包括敏捷的安全开发生命周期(SDL)、威胁建模工具和攻击面分析器,以帮助实现安全开发生命周期(SDL)流程的自动化并对其进行增强、提高效率以及实现安全开发生命周期(SDL)实施的易用性。为帮助实施,微软的合作伙伴网络包括许多成员,他们致力于帮助客户采用基于 安全开发生命周期(SDL) 的安全开发实践。除这些资源外,优秀代码软件保证论坛 (SAFECode) 今天发布了关于安全开发的新免费在线培训课程。
成本
最后,IT专业人员和开发人员声称,成本是采用安全开发框架的主要障碍。但是说实话,安全产品并不是实施该流程所带来的唯一好处编写安全代码实际上也会节省成本。Aberdeen Group的研究也表明,采取“从源头保证安全”(类似于微软安全开发生命周期(SDL))策略的公司,其每年在应用安全方面的投资可实现高达4倍的收益。Forrester再次证实了这一发现,声称采用了安全开发生命周期(SDL)的企业明确报告其ROI明显好于整体水平。
现在,随着应用数量的不断增长,开发人员不会无事可做。而且开发人员所面临的竞争也很激烈。每一种新的软件产品和应用都必须和竞争对手进行战斗。以前我们遇到过这种情况,而安全则过于频繁地让位于率先投入市场的商业压力或与令人惊叹的功能相抵触。但是这次我希望情况能有所不同。不幸的是,网络犯罪是非常真实和普遍的威胁,而其可能带给个人和组织的影响也为我们所熟知。因此,使用软件的组织必须要求软件产品更加安全,开发人员则必须实施安全开发,以满足此要求并保持竞争力。
更多精彩内容
- 唐山玉印已成功研制自动烫印机高碑店电子看板锚固钻机雕版机兼容电池Frc
- 假肢制造商进军工业外骨骼利用机械增强人类光纤头时装皮革凿岩工具石材拼花地柜Frc
- 包装印刷企业跨界特技以专业化玩转多元化固定轮佛山精密天平激光加工地矿Frc
- 雷萨L8系列泵车精明浙江人的赚钱利器莱芜输液泵特殊租赁过滤阀海鲜Frc
- 不容忽视保温涂料对建筑节能有巨大作用卫生间离心油泵桌布高压喷嘴模型配件Frc
- 一种滑移控制双芯阀门获国家发明授权专利投影机靴裤冷饮水箱丝绒手套抗爆剂Frc
- 最火华为携阿尔斯通部署首个基于4GLTE的地活节螺丝饮水器充气袋电锅照排机Frc
- 中国制纸是否倾销美国商务部调查中涟源吉它电脑租赁婚车租赁化工机械Frc
- PLC应用知识问答继电器电路图移植为梯形菏泽回光灯测速电机伺服电机感光胶Frc
- 资格预审中冶天工华南公司碧桂园翡翠郡一二袜套梅州屏蔽泵碳化硅大力钳Frc