Я работаю над проектом, известным как проект жизненного цикла безопасности (SDL) в Microsoft (http://microsoft.com/sdl). Короче говоря, это набор практик, которые должны использоваться группами продуктов, прежде чем они отправят продукты, чтобы повысить безопасность.Какие защищенные разработки программного обеспечения вы используете?
За последние несколько лет мы опубликовали много документации SDL, так как клиенты запрашивают дополнительную информацию о том, что мы делаем.
Но то, что я хотел бы знать:
- Что вы делаете в вашей организации, чтобы помочь улучшить безопасность вашего продукта?
- Что работает? Что не работает?
- Как вы получили руководство, чтобы согласиться на эту работу?
Спасибо.
Я думаю, что это хороший вопрос хорошего парня. Программное обеспечение Microsoft развернуто для огромного количества пользователей и улучшено с точки зрения безопасности (например, сравнить IIS 4 с IIS 7). Я думаю, что недавняя атака на Adobe Reader в последнее время является скорее подтверждением того, что атаковать продукты Microsoft становится все сложнее. Ни в коем случае Microsoft не совершенна, но они изучили некоторые уроки и стали лучше. –
@Jeff Moser Итак, как насчет того нового IE 8 0-day на Windows 7 на pwn2own? То, что Microsoft говорит, бессмысленно, когда их программное обеспечение постоянно ломается. Все, что я вижу, это Exploit after Exploit, абсолютно ничего не изменилось. – rook
@ TheRook: каждый раз, когда ваш продукт используется сотнями миллионов пользователей, вы станете мишенью. Безопасность сложна и требует много стратегий углубленной защиты. Это очень асимметричное сражение, в котором вам нужно защищаться от всего, и злоумышленнику нужно только найти одну слабость. Кроме того, при таком широко распространенном сообществе пользователей вы должны выполнить много регрессионного тестирования для проверки исправления. Это тяжело, и я рекомендую таких людей, как Майкл, честно пытаться. Давайте отложим тенденции пламенной войны и справедливо рассмотрим этот вопрос, указав на хорошие практики и помог сообществу. –