微软本周拓展了其安全开发生命周期（SDL）项目，引入了一项新的模板来帮助IT部门和编码人员构建安全的软件开发，从而成为支持SDL流程的分类鉴定工具的厂商。

　　这种新的MSF-A+SDL模板是设计来将敏捷开发方法引入Visual Studio IDE中的。应用敏捷原理的企业和软件开发人员能够使用支持敏捷原理的这一模板在相应的开发平台上进行项目开发。

　　微软的安全项目总经理David Ladd说,去年发布的这一SDL过程模板侧重于瀑布式和螺旋式的开发方式，微软将其应用在Office、Word和Windows的内部项目开发之中，这些项目大多要花几年的时间来完成。

　　Ladd说：“朝着更快速的应用程序开发和敏捷开发发展是大势所趋，在某些情况下你可能有一个Web组件，这时适用于快速应用开发的瀑布式或螺旋式的过程将没有多大意义。”

　　微软的SDL项目经理David Ladd说，值得一提的是，这一模板适用于需要长期维护和开发跟进的Web应用程序和基于Web的服务。当向程序中加入一项新的循环时，这一模板会在SDL中协助创建安全任务。

　　此外，敏捷模板能让SDL在敏捷代码控制的范围内检查Visual Studio项目和网站编码。这一模板还可以让SDL为项目的推进创建新的需求。

　　这一工具可用于beta版，Ladd说微软将在其完整版发布之前接受反馈并对其流程进行相应的修正，据悉正式版本将于第二季度末发布。

　　微软于2004年将SDL引入其内部软件开发流程中，目的是减少其软件中的漏洞的数量和降低其严重级别。SDL侧重于长期维护、流程改进并能够帮助开发过程应对不断变化的威胁状况。

　　今天新发布的SDL白皮书简化了SDL流程。Ladd说，SDL部署的适用范围大到IT组织，小到单一的自由职业开发者。然而在过去，小型的IT团队常常会被大量的SDL文档吓跑，他们估计部署SDL会非常困难，这次新发布的SDL白皮书应景而生，简化后的版本只有17页的文档。

　　SDL是微软开展可信赖计算项目产生的副产品，它在八年前就被开发出来了。自那以后，微软陆续将其内部的大量成果物推广到市场。

　　2008年，微软发布了一系列重要指南，被称为SDL优化模型，它能够帮助IT组织部署SDL。威胁模型工具能够让软件开发人员和设计师从安全的角度分析他们的项目，并找出潜在的攻击来源和开发过称中的其他安全问题。

　　新的SDL专业网络类别

　　微软还拓展了其SDL专业网络，宣告了其SDL认可厂商内出现了一个新“工具”成员。专业网络成员对微软的安全开发流程有很深的了解，还会组织培训和帮助企业进行最佳实践的部署。

　　这种“工具”类型会帮助公司应用SDL，并选取拥有静态分析工具、自动化发掘软件漏洞和二进制分析工具的SDL专业网络成员厂商。Fortify Software、 Veracode以及 Codenomicon是位列类别表中的第一批工具厂商，其中还列出了资讯和培训公司。

　　Ladd说，微软的开发工具不需要部署SDL。

　　Ladd说：“如果你使用某一安全工具，而且它在你的环境下运行状态很好，那么就继续使用它，SDL并不是想象出来替换架构的分裂工具。”