После выпуска консолидированного отчета «Эшелон» по безопасности программного кода известная корпорация Microsoft подготовила на русском языке Отчет о развитии Microsoft SDL (The SDL Progress Report), описывающего борьбу компании за безопасность программного обеспечения.

Security Development Lifecycle (SDL) — это жизненный цикл создания безопасного ПО, фактически, СМК компании в области производства программных продуктов.

В Отчете отражены успехи Microsoft по снижению количества уязвимостей в ПО и по разработке методов и средств снижения риска реализации уязвимостей (в период 2004 — 2010 гг.) программной среды и приложений.
Кстати, некоторые сведения в Отчете основаны на данных по обнаружению уязвимостей, опубликованных в супостатской национальной базе данных уязвимостей (nvd.nist.gov).
Кроме исторических справок, в Отчете приведены некие тренды по степени критичности уязвимостей и степени сложности их реализаций (к слову, к самым критическим уязвимостям отнесены те, которые могут быть использованы и для компрометации персональных данных в ИСПДн, что актуально в свете ФЗ-152).
Также описаны важные процедуры SDL, касающиеся поиска уязвимостей ПО, технологий снижения риска эксплойтов и отслеживания тенденций угроз информационной безопасности.
Интерес представляет описания техник Microsoft по снижению рисков реализации уязвимостей ее продукции:

  • предотвращение выполнения данных (Data Execution Prevention, DEP),
  • защита от перезаписи обработчика структурных исключений (Structured Exception Handler Overwrite Protection, SEHOP),
  • рандомизация размещения адресного пространства (Address space layout randomization, ASLR),
  • дополнительная защита от реализации атаки переполнения буфера (/GS) и другие.

Предложены бесплатные утилиты, такие как:

 

Сам Отчет можно скачать по ссылкам:
Microsoft SDL Progress Report (english)
Отчет о развитии Microsoft SDL (по-русски)

                        .

1 комментарий для “The Microsoft SDL Progress Report об уязвимостях — теперь на русском!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *