Microsoft hilft Entwicklern mit neuen Tools für sichere Software
Unterschleißheim, 17. September 2009. Der Trend ist erkennbar: Attacken aus dem Internet auf Windows, Office und Co. sind aufgrund neuer Sicherheitsstandards bei Microsoft immer weniger erfolgreich. Nun konzentrieren sich die Angreifer zunehmend auf Anwendungen von Drittherstellern. Die Trustworthy Computing Group von Microsoft hat Hilfsprogramme vorgestellt, die den Security Development Lifecycle (SDL – eine Kombination von Technologie, Prozessen und Anwendungsbeispielen für mehr Sicherheit) zu erweitern. Mit dem BinScope Binary Analyzer und dem MiniFuzz File Fuzzer bekommen Entwickler und Software-Tester Werkzeuge, um Sicherheitsrisiken in ihren Programmen noch vor der Veröffentlichung zu beheben. Auch steht ab sofort das Whitepaper "Manual Integration of the SDL Process Template" zum Download bereit, eine Anleitung für die Einführung des SDL Prozesses.
Der Microsoft Bin Scope Binary Analyzer überprüft binären Code darauf, ob alle empfohlenen und notwendigen Security Flags, Schutzmechanismen und Kontrollen vorhanden sind. Das stellt sicher, dass Anwendungen nicht durch gängige Sicherheitsfehler beim Coding verwundbar sind.
Der Microsoft MiniFuzz File Fuzzer ist eine Lösung für Tester, die unerwartete Verhaltensweisen ihrer Anwendungen eingrenzen wollen. Der Fuzzer automatisiert Sicherheitsüberprüfungen und testet den Code mit verschiedenen Flow Patterns. Auf diesem Wege wird bereits sehr früh im Entwicklungsprozess festgestellt, ob etwa Programm-Abstürze als Sicherheitsrisiken untersucht werden müssen.
"SDL hat sich seit seiner Einführung als effizienter Prozess zur Steigerung der Softwarequalität bewährt", so Prof. Dr. Sachar Paulus, Vorstandsvorsitzender der ISSECO (International Secure Software Engineering Council e.V.). "Dank der guten Methodologie und einfachen Umsetzbarkeit hat sich SDL mittlerweile bei vielen Entwicklern etabliert. Die beiden neuen Tools sind weitere Bausteine hin zu einer besseren, sichereren Softwareentwicklung."
In Zusammenarbeit mit der Windows Entwicklergemeinde hat Microsoft das Whitepaper "Manual Integration of the SDL Process Template" veröffentlicht. Es enthält eine Anleitung zur Integration des SDL für Entwickler, die mit Visual Studio Team System, dem Software-Entwicklungssystem von Microsoft arbeiten. Schritt für Schritt unterstützt es die Entwickler bei der Integration des Prozesses in ihre bestehenden Projekte und hilft somit, ein robustes Sicherheitsprogramm in ihre Entwicklungsumgebungen zu integrieren.
Der Security Development Lifecycle ist ein Kern-Element der Trustworthy Computing Initiative von Microsoft. Der Prozess wurde zunächst geschaffen, um Microsoft-intern sichere Anwendungen zu liefern und Attacken widerstehen zu können. Jedes Produkt von Microsoft, das mit dem Internet kommuniziert oder für den Unternehmenseinsatz konzipiert ist, muss den SDL-Prozess durchlaufen. Heute wird SDL als Best Practice von immer mehr externen Entwicklern nachgefragt.
"Wir schützen damit unsere Plattform. Dazu gehört nicht nur, dass wir unsere eigenen Betriebssysteme und Anwendungen immer sicherer machen, sondern auch Partner und andere Anbieter dabei unterstützen," so Tom Köhler, Direktor Strategie Informationssicherheit & Kommunikation bei Microsoft Deutschland. "Gerade Anwendungen von Drittanbietern stehen immer mehr im Zentrum der Attacken durch Schadsoftware. Jeder Entwickler, ob Freiberufler, Microsoft Partner oder Firmenentwickler muss bereits im Designprozess darauf achten, dass seine Anwendungen in der Praxis sicher funktionieren. SDL hilft dabei."
Die Tools und das Whitepaper können unter http://www.microsoft.com/sdl kostenlos heruntergeladen werden. Dort finden Sie auch weitere Informationen zu SDL.
Quelle: Pressemitteilung der Microsoft Deutschland GmbH vom 17.09.2009