Выступая на конференции Microsoft Security Development
Conference в Сан-франциско на этой неделе, вице-президент по вопросам
защищенных информационных систем Скотт Чарни подробно рассказал о пути,
пройденным Microsoft от выпуска патчей, если случались проблемы, до применения
процесса SDL ("Жизненный цикл безопасной разработки"),
превратившим безопасность в неотъемлемую часть разработки.
"Раньше это было похоже на игру "Стукни крота". Возникла проблема - выпустили патч", - заявляет Чарни.
В 2004 году Microsoft запустила SDL и начала применять его
при разработке программных продуктов, которые используют на предприятиях или
для хранения/обработки персональных
данных. Целью внедрения SDL было уменьшить уязвимости в продуктах и
интегрировать методику в жизненный цикл разработки.
"Финальная проверка безопасности" выполнялась,
чтобы удостовериться, что продукт не содержит "дефектов"
безопасности, которые попадут потом в критический или важный бюллетени.
Однако, процесс SDL вызвал раздражение команд разработчиков
продуктов, поскольку новые требования Microsoft к безопасности мешали им
переходить на новый этап разработки своего продукта.
"Впервые, когда мы сообщили разработчикам, что они не могут выпустить свой продукт, они были шокированы", - вспоминает Чарни.
Хотя SDL облегчил жизнь клиентов и существенно сократил
уязвимости, по словам Чарни, компании никогда не удастся свести их к нулю.
"Это невозможно, ведь ПО создают люди. Им свойственно ошибаться". "Вредители" всегда найдутся, - отмечает Чарни."Именно поэтому мы практикуем безопасную разработку".
Комментариев нет:
Отправить комментарий