Microsoft: снижая число уязвимостей

28 марта компания Microsoft провела круглый стол со старшим директором направления SDL корпорации Microsoft Стивом Липнером, который приехал в Москву с двухдневным визитом. Г-н Липнер подробно рассказал о текущем состоянии SDL и стратегии его развития, его влиянии на обеспечение безопасности программных продуктов, в том числе и новых технологий, таких как облачные решения, а также роли и значении сертификации для современного бизнеса.

Microsoft

Стив Липнер отвечает за стратегию безопасности разработки ПО, в основе которой лежит принятая компанией в 2004 г. политика жизненного цикла безопасной разработки (security development lifecycle, SDL). Цикл безопасной разработки применяется во всей корпорации Microsoft и является обязательным. Этот процесс дает возможность реализовать меры обеспечения безопасности и конфиденциальности как можно раньше и на всех этапах процесса разработки. В модели SDL применяется здравый практичный подход; в основе этой модели лежит управление рисками и стремление защитить конечных пользователей путем снижения количества и важности уязвимостей в коде. Г-н Липнер подчеркнул, что SDL является обязательной корпоративной политикой Microsoft с 2004 года.

Согласно оценке Национального института стандартов и технологий (NST), затраты на устранение ошибок в коде после выпуска продукта могут в 30 раз превышать затраты на устранение ошибок на этапе разработки. Недавние исследования компаний Forrester Research и Aberdeen Group показали, что если компании используют структурированный подход, такой как Microsoft SDL, в ходе которого систематически проверяется безопасность программного обеспечения на соответствующем этапе жизненного цикла, вероятность найти уязвимости увеличивается, что позволяет устранить их раньше в цикле разработке, снизив тем самым совокупную стоимость разработки ПО.

Microsoft

В январе 2011 года компания Forrester опубликовала результаты профинансированного корпорацией Майкрософт исследования основных факторов влияния на разработку ПО в Северной Америке. Компания Forrester установила, что хотя обеспечение безопасности приложений не характеризовалось продуманным подходом в большинстве компаний, прибыль на инвестиции компаний, использующих согласованный, нормативный подход, была выше.

В августе 2010 года компания Aberdeen Group опубликовала исследование, подтверждающее, что полученная прибыль намного превышает совокупные ежегодные затраты на инициативы, связанные с безопасностью приложений. В декабре 2010 года компания Aberdeen Group опубликовала более подробные результаты исследования организаций, реализующих структурированные программы разработки безопасных продуктов, и «... пришла к заключению, что годовая прибыль от инвестиций в безопасность приложений таких компаний увеличилась в 4 раза».

Далее г-н Липнер рассказал о таких технологиях снижения риска, как DEP (предотвращение выполнения данных) и ASLR (рандомизация размещения адресного пространства). Компания Microsoft провела исследование параметров DEP и ASLR в последних версиях 41 популярного пользовательского приложения, используемых миллионами пользователей по всему миру. В результате было выяснено, что в 71% этих приложений полностью включена поддержка DEP, а поддержка ASLR полностью включена только в 34% приложений (в 46% - частично).

Microsoft

Невозможно полностью исключить появление уязвимостей во время разработки широкомасштабных проектов программного обеспечения. Длительная тенденция показывает, что каждый год во всей отрасли ПО обнаруживает тысячи уязвимостей системы безопасности. По большей части эти уязвимости имеют высокую степень серьезности в приложениях, и их относительно легко использовать.

Независимые поставщики ПО и организации, занимающиеся разработкой ПО, которые в настоящий момент не используют SDL, должны рассмотреть возможность применения SDL, чтобы понять его преимущества.

Ранее редакция THG.ru сообщила, что компания Microsoft объявила о результатах работы в сфере образования в России за 2009-2010 учебный год. Положительная динамика зафиксирована по всем направлениям деятельности, включая работу с сегментами общего образования, начального и среднего профессионального, а также высшего профессионального образования России.

©  Tom's Hardware