【TechTarget中国原创】在与用户改善软件开发程序的几年非正式的合作后,微软发布了一个正式的项目,通过各种新的倡议把它的安全开发生命周期(Security Development Lifecycle)扩展给用户。
微软计划在一项叫做SDL Pro Netwwork的新项目中与一些第三方咨询合作。通过这个项目,微软用户可以了解安全开发程序。这个开发程序是微软在过去的四年中为开发人员培训创建的,拥有设计目标并执行最佳的实践。除了新的网络,微软还将发布一套执行安全开发生命周期(SDL)的指导,叫做SDL优化模式(SDL Optimization Model)。
自从在六年多以前,微软开始它的Trustworthy Computing program以来,微软已经逐渐发布了说是它内部工作的零碎的情况。微软的员工,特别是Michael Howard(The Security Development Lifecycle的作者)一直都在口头主张从头开始建立更好的软件。
微软说,SDL优化模式和微软的Threat Modeling Tool的3.0版本将可在11月份下载。这款工具时一个内部开发应用。它是为允许软件开发人员和架构师分析他们的程序而设计的。这些软件开发人员和架构师在开发过程中,从察看和识别潜在国攻击的携带者和其他安全问题的安全角度进行分析的。微软在几年内一直在内部使用这款工具,但是这是第一次微软把它向外部组织公开。
SDL Pro Network包含几个关注安全的咨询机构,包括Cigital Inc.、IOActive Inc.、Leviathan Security Group Inc.、iSEC Partners Inc.和 Next Generation Security Software Ltd.这些公司中的很多家都和微软在SDL的一部分上有直接的合作,而且对微软自己的应用作出评估。
Cigital.的常务董事兼SDL practice manager的Brian Mizelle 说:“我们把微软SDL Pro Network的发布看作是把我们和其它安全专家合作的最好经验,来开发SDL提供的始终如一的服务。无论使用什么样的方法,我们拥有共通的目标,就是培训和提出保护我们的用户资产的服务以及更好的软件安全的良好声誉。任何提升这一完美程度的行为都是向正确的方向的不断地进步。” Mizelle 说:“SDL Pro Network等合作的努力把这个行业内的最好的思想集中在一起,可以帮助改善我们对用户的服务,并拓宽在这个课题上的思路。”