среда, 22 мая 2013 г.

Microsoft: Неуязвимое ПО - миссия невыполнима

Несмотря на то, что Microsoft учредила процессы, предназначенные сделать ПО безопасным и даже предоставила их в свободное пользование, полностью надежного ПО не существует, поделился представитель Microsoft.

Выступая на конференции Microsoft Security Development Conference в Сан-франциско на этой неделе, вице-президент по вопросам защищенных информационных систем Скотт Чарни подробно рассказал о пути, пройденным Microsoft от выпуска патчей, если случались проблемы, до применения процесса SDL ("Жизненный цикл безопасной разработки"), превратившим безопасность в неотъемлемую часть разработки.
"Раньше это было похоже на игру "Стукни крота". Возникла проблема - выпустили патч", - заявляет Чарни.
В 2004 году Microsoft запустила SDL и начала применять его при разработке программных продуктов, которые используют на предприятиях или для хранения/обработки  персональных данных. Целью внедрения SDL было уменьшить уязвимости в продуктах и интегрировать методику в жизненный цикл разработки.

"Финальная проверка безопасности" выполнялась, чтобы удостовериться, что продукт не содержит "дефектов" безопасности, которые попадут потом в критический или важный бюллетени.

Однако, процесс SDL вызвал раздражение команд разработчиков продуктов, поскольку новые требования Microsoft к безопасности мешали им переходить на новый этап разработки своего продукта.
"Впервые, когда мы сообщили разработчикам, что они не могут выпустить свой продукт, они были шокированы", - вспоминает Чарни.

Хотя SDL облегчил жизнь клиентов и существенно сократил уязвимости, по словам Чарни, компании никогда не удастся свести их к нулю.
"Это невозможно, ведь ПО создают люди. Им свойственно ошибаться". "Вредители" всегда найдутся, - отмечает Чарни.

"Именно поэтому мы практикуем безопасную разработку".

Комментариев нет:

Отправить комментарий