The Microsoft SDL Progress Report об уязвимостях — теперь на русском!
После выпуска консолидированного отчета «Эшелон» по безопасности программного кода известная корпорация Microsoft подготовила на русском языке Отчет о развитии Microsoft SDL (The SDL Progress Report), описывающего борьбу компании за безопасность программного обеспечения.
Security Development Lifecycle (SDL) — это жизненный цикл создания безопасного ПО, фактически, СМК компании в области производства программных продуктов.
В Отчете отражены успехи Microsoft по снижению количества уязвимостей в ПО и по разработке методов и средств снижения риска реализации уязвимостей (в период 2004 — 2010 гг.) программной среды и приложений.
Кстати, некоторые сведения в Отчете основаны на данных по обнаружению уязвимостей, опубликованных в супостатской национальной базе данных уязвимостей (nvd.nist.gov).
Кроме исторических справок, в Отчете приведены некие тренды по степени критичности уязвимостей и степени сложности их реализаций (к слову, к самым критическим уязвимостям отнесены те, которые могут быть использованы и для компрометации персональных данных в ИСПДн, что актуально в свете ФЗ-152).
Также описаны важные процедуры SDL, касающиеся поиска уязвимостей ПО, технологий снижения риска эксплойтов и отслеживания тенденций угроз информационной безопасности.
Интерес представляет описания техник Microsoft по снижению рисков реализации уязвимостей ее продукции:
- предотвращение выполнения данных (Data Execution Prevention, DEP),
- защита от перезаписи обработчика структурных исключений (Structured Exception Handler Overwrite Protection, SEHOP),
- рандомизация размещения адресного пространства (Address space layout randomization, ASLR),
- дополнительная защита от реализации атаки переполнения буфера (/GS) и другие.
Предложены бесплатные утилиты, такие как:
- средство моделирования угроз SDL;
- шаблон SDL для Visual Studio ® Team System (Classic);
- бинарный анализатор Binscope SDL (проверка бинарных файлов на соответствие SDL);
- средство тестирования SDL Minifuzz File Fuzzer;
- упрощенная реализации Microsoft SDL;
- шаблон SDL MSF+Agile для Visual Studio Team System;
- средство тестирования регулярных выражений Regex.
Сам Отчет можно скачать по ссылкам:
— Microsoft SDL Progress Report (english)
— Отчет о развитии Microsoft SDL (по-русски)
.
Possibly Related Posts:
- Испытательная лаборатория «Эшелон» награждена за вклад в развитие системы сертификации СЗИ МО РФ
- KOMRAD Enterprise SIEM получила сертификат совместимости с ОС Astra Linux Special Edition
- Изменения в Положении о системе сертификации ФСТЭК России (121 приказ)
- Обновленный KOMRAD Enterprise SIEM получил сертификат ФСТЭК России по 4-му уровню доверия
- Очередная награда Родины за укрепление государственной системы защиты информации!
Эксперт сообщества Алексей Марков
Канд.техн.наук, ст.науч.сотр., CISSP, SBCI, доцент каф. ИБ МГТУ им.Н.Э.Баумана
Рубрика: bugtracking, информационная безопасность, Новости, Теория ИБ, Тестирование. Метки: Microsoft SDL, Security Development Lifecycle, Stive Lipner, безопасность производства программ, Безопасный жизненный цикл программ, Бесплатное средство моделирования угроз безопасности информации, Майкрософт СМК, Система менеджмента качества, суиб, Уязвимости программного кода. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.
IBM тоже опубликовало какой-то отчет:
http://www.rbcdaily.ru/2011/04/01/media/562949979976968