Lavoro su un progetto noto come progetto SDL (Security Development Lifecycle) in Microsoft (http://microsoft.com/sdl). In breve, è un insieme di pratiche che devono essere utilizzate dai gruppi di prodotti prima che vengano spediti prodotti per migliorare la sicurezza.Quali pratiche di sviluppo del software sicuro impiegate?
Negli ultimi due anni, abbiamo pubblicato una grande quantità di documentazione SDL, in quanto i clienti chiedono maggiori informazioni su ciò che stiamo facendo.
Ma quello che vorrei sapere è:
- Cosa stai facendo all'interno dell'organizzazione per contribuire a migliorare la sicurezza del vostro prodotto?
- Cosa funziona? Cosa non funziona?
- Come hai ottenuto la gestione di accettare questo lavoro?
Grazie.
Penso che questa sia una buona domanda da un bravo ragazzo. Il software di Microsoft viene distribuito a una grande quantità di utenti e ha migliorato la sicurezza in termini di sicurezza (ad esempio, confronta IIS 4 con IIS 7). Penso che il recente attacco focalizzato su Adobe Reader ultimamente sia in qualche modo un riconoscimento che l'attacco ai prodotti Microsoft sta diventando più difficile. Non è assolutamente perfetto Microsoft, ma hanno imparato alcune lezioni e stanno migliorando. –
@Jeff Moser Allora che ne dici di quel nuovo IE 8 0-day su Windows 7 in pwn2own? Quello che Microsoft dice è privo di significato quando il loro software è costantemente rotto. Tutto quello che vedo è Exploit after Exploit, assolutamente nulla è cambiato. – rook
@TheRook: ogni volta che il tuo prodotto viene utilizzato da centinaia di milioni di utenti, diventerai un bersaglio. La sicurezza è difficile e richiede molte strategie di difesa in profondità. È una battaglia molto asimmetrica in cui devi difendere da tutto e l'attaccante deve solo trovare una debolezza. Inoltre, con una comunità di utenti così diffusa, è necessario eseguire molti test di regressione per verificare una correzione. È difficile e raccomando persone come Michael che stanno provando onestamente. Mettiamo da parte le tendenze alla guerra di fiamma e affrontiamo questa domanda in modo equo indicando le buone pratiche e aiutando la comunità. –