吳明宜 |
| Black Hat Technical Security Conference DC 2010 |
微軟在黑帽安全大會上推出新軟體及新會員方案和指南,以強化該公司的安全開發生命週期 (Secure Development Lifecycle, SDL) 開發方法論。
這套軟體是微軟 MSF for Agile Software Development 及 SDL Process Template for VSTS 2008(MSF-A+SDL)的第一個公開 beta 版,旨在協助開發團隊將 SDL 流程整合到 Visual Studio Team System 開發環境中。
新的軟體是以微軟 SDL-Agile 流程為基礎,它為開發週期較一般 SDL 專案為短期專案而設計。
微軟也將在 4 月初 Visual Studio 2010 上市後,推出 Visual Studio 模板專用的版本。
微軟也擴大 SDL Pro Network,加入新的會員類別,稱為工具類 (Tools) 。以此類身份加入的公司可提供和安全工具,如狀態分析、 fuzzer 或二進位分析部署相關的服務。
微軟宣佈了 7 家 SDL Pro Network 會員,包括 Tools 類的 Fortify, Veracode 及 Codenomicon ;顧問會員類的 Booz-Allen Hamilton 、 Casaba Security 與 Consult2Comply;和訓練會員類的 Safelight Security Advisors 。
最後,微軟出版了名為《Microsoft SDL 的簡化導入》的白皮書,希望能傳達出,企業不一定得長到像微軟一樣大,也不一定要使用微軟的開發工具才能確保安全開發的訊息。
微軟協助第三方開發廠商提升程式碼安全性,正好呼應該公司 2009 年上半年的報告,發現通報的弱點中有 81% 是非瀏覽器的應用,5% 存在於微軟產品中,其餘則是瀏覽器的瑕疵。