The Microsoft SDL Progress Report об уязвимостях — теперь на русском!

1 Отзыв

После выпуска консолидированного отчета «Эшелон» по безопасности программного кода известная корпорация Microsoft подготовила на русском языке Отчет о развитии Microsoft SDL (The SDL Progress Report), описывающего борьбу компании за безопасность программного обеспечения.

Security Development Lifecycle (SDL) — это жизненный цикл создания безопасного ПО, фактически, СМК компании в области производства программных продуктов.

В Отчете отражены успехи Microsoft по снижению количества уязвимостей в ПО и по разработке методов и средств снижения риска реализации уязвимостей (в период 2004 — 2010 гг.) программной среды и приложений.
Кстати, некоторые сведения в Отчете основаны на данных по обнаружению уязвимостей, опубликованных в супостатской национальной базе данных уязвимостей (nvd.nist.gov).
Кроме исторических справок, в Отчете приведены некие тренды по степени критичности уязвимостей и степени сложности их реализаций (к слову, к самым критическим уязвимостям отнесены те, которые могут быть использованы и для компрометации персональных данных в ИСПДн, что актуально в свете ФЗ-152).
Также описаны важные процедуры SDL, касающиеся поиска уязвимостей ПО, технологий снижения риска эксплойтов и отслеживания тенденций угроз информационной безопасности.
Интерес представляет описания техник Microsoft по снижению рисков реализации уязвимостей ее продукции:

  • предотвращение выполнения данных (Data Execution Prevention, DEP),
  • защита от перезаписи обработчика структурных исключений (Structured Exception Handler Overwrite Protection, SEHOP),
  • рандомизация размещения адресного пространства (Address space layout randomization, ASLR),
  • дополнительная защита от реализации атаки переполнения буфера (/GS) и другие.

Предложены бесплатные утилиты, такие как:

 

Сам Отчет можно скачать по ссылкам:
Microsoft SDL Progress Report (english)
Отчет о развитии Microsoft SDL (по-русски)

                        .

Possibly Related Posts:


Рубрика: bugtracking, информационная безопасность, Новости, Теория ИБ, Тестирование. Метки: , , , , , , , , , . Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

1 Отзыв на «The Microsoft SDL Progress Report об уязвимостях — теперь на русском!»


  1. Suhov

    IBM тоже опубликовало какой-то отчет:
    http://www.rbcdaily.ru/2011/04/01/media/562949979976968