Microsoft unterstützt Drittanbieter bei der Entwicklung sicherer Software

"Security Development Lifecycle Process Template" integriert Sicherheits-management in "Visual Studio Team System"

(27.05.09) - Im Rahmen ihrer Aktivitäten, die Sicherheit des Softwareentwicklungsprozesses zu verbessern, hat Microsoft das "Security Development Lifecycle (SDL) Process Template" zum kostenlosen Download auf MSDN bereitgestellt. Das Plug-In für "Visual Studio Team System" integriert den SDL Prozess direkt in die vorhandene Entwicklungsumgebung. Seit 2004 nutzt Microsoft den SDL Prozess, um die Sicherheit ihrer Produkte schon im Entwicklungsstadium in den Mittelpunkt zu rücken. Da mittlerweile aber über 90 Prozent der Sicherheitslücken in Browsern und Anwendungen zu finden sind, stellt Microsoft das SDL auch anderen Entwicklern zur Verfügung.

Seit 2004 steht bei Microsoft die Sicherheit im Zentrum der Entwicklung neuer Software. Durch die Einführung des SDL, eines umfassenden, verpflichtenden Prozesses zur Qualitätssicherung unter Sicherheitsaspekten, ist es dem Unternehmen gelungen, die Zahl und Schwere der Schwachstellen deutlich zu reduzieren. Der aktuelle Security Intelligence Report (SIRv6) zeigt jedoch, dass sich die Bedrohungen für PCs zuletzt deutlich von der Betriebssystem- auf die Anwendungsebene verlagert haben. So kommt der Betrachtung von Sicherheitsaspekten bei der Softwareentwicklung von Drittanbietern eine immer größere Bedeutung zu.

"Die erfolgreichen Attacken auf unsere Betriebssysteme haben in den vergangenen Jahren dank der Einführung des SDL deutlich abgenommen", sagt Tom Köhler, Direktor Strategie Informations-sicherheit und Kommunikation bei Microsoft Deutschland. "Die Angreifer nutzen stattdessen heute verstärkt Sicherheitslücken in Anwendungen, Browsern und sogenannten Plug-Ins. Für Microsoft ist es daher von großer Bedeutung, eng mit Drittanbietern zusammenzuarbeiten und so die Sicherheit der Gesamtsysteme zu erhöhen."

Microsoft stellt deshalb ihre Erfahrungen und Tools zur Qualitätssicherung anderen Unternehmen zur Verfügung. Im Herbst 2008 hat Microsoft daher das SDL Pro Network ins Leben gerufen, das Entwicklern helfen soll, SDL in ihren Umgebungen zu implementieren. Zudem wurden das "SDL Optimization Model"- und das "SDL Threat Modelling"-Tool kostenlos öffentlich zur Verfügung gestellt. Mit der Veröffentlichung des SDL Process Templates führt Microsoft diesen Weg nun konsequent fort. Das Template unterstützt Entwickler, die mit dem Visual Studio Team System arbeiten, dabei, ihre Anwendungen vom ersten Entwicklungsschritt an gegenüber Angriffen sicherer zu machen.

Das SDL Process Template setzt auf einfache Bedienbarkeit und nahtlose Integration in bestehende Umgebungen. So unterstützt es Sicherheitsapplikationen von Drittanbietern, installiert die SDL Anforderungen als Arbeitspakete, ermöglicht SDL-basierte Check-In-Policies, erstellt einen finalen Sicherheitsbericht und verwaltet Sicherheits-Bugs sowie spezifische Anfragen. Die Policies, Prozesse und Werkzeuge des SDL werden automatisch in der Entwicklungsumgebung implementiert. Durch die Bereitstellung von minutengenauen Berichten über Sicherheitsprobleme, Testergebnisse und den Status aller Sicherheitsanforderungen eines Projekts ermöglicht es auch Projektmanagern, die keine Sicherheitsexperten sind, jederzeit den Überblick über alle sicherheitsrelevanten Aufgaben zu haben. (Microsoft: ma)