The Microsoft SDL Progress Report об уязвимостях — теперь на русском!

После выпуска консолидированного отчета «Эшелон» по безопасности программного кода известная корпорация Microsoft подготовила на русском языке Отчет о развитии Microsoft SDL (The SDL Progress Report), описывающего борьбу компании за безопасность программного обеспечения.

Security Development Lifecycle (SDL) — это жизненный цикл создания безопасного ПО, фактически, СМК компании в области производства программных продуктов.

В Отчете отражены успехи Microsoft по снижению количества уязвимостей в ПО и по разработке методов и средств снижения риска реализации уязвимостей (в период 2004 — 2010 гг.) программной среды и приложений.
Кстати, некоторые сведения в Отчете основаны на данных по обнаружению уязвимостей, опубликованных в супостатской национальной базе данных уязвимостей (nvd.nist.gov).
Кроме исторических справок, в Отчете приведены некие тренды по степени критичности уязвимостей и степени сложности их реализаций (к слову, к самым критическим уязвимостям отнесены те, которые могут быть использованы и для компрометации персональных данных в ИСПДн, что актуально в свете ФЗ-152).
Также описаны важные процедуры SDL, касающиеся поиска уязвимостей ПО, технологий снижения риска эксплойтов и отслеживания тенденций угроз информационной безопасности.
Интерес представляет описания техник Microsoft по снижению рисков реализации уязвимостей ее продукции:

предотвращение выполнения данных (Data Execution Prevention, DEP),
защита от перезаписи обработчика структурных исключений (Structured Exception Handler Overwrite Protection, SEHOP),
рандомизация размещения адресного пространства (Address space layout randomization, ASLR),
дополнительная защита от реализации атаки переполнения буфера (/GS) и другие.

Предложены бесплатные утилиты, такие как: