The Microsoft SDL Progress Report об уязвимостях — теперь на русском!
После выпуска консолидированного отчета «Эшелон» по безопасности программного кода известная корпорация Microsoft подготовила на русском языке Отчет о развитии Microsoft SDL (The SDL Progress Report), описывающего борьбу компании за безопасность программного обеспечения.
Security Development Lifecycle (SDL) — это жизненный цикл создания безопасного ПО, фактически, СМК компании в области производства программных продуктов.
В Отчете отражены успехи Microsoft по снижению количества уязвимостей в ПО и по разработке методов и средств снижения риска реализации уязвимостей (в период 2004 — 2010 гг.) программной среды и приложений.
Кстати, некоторые сведения в Отчете основаны на данных по обнаружению уязвимостей, опубликованных в супостатской национальной базе данных уязвимостей (nvd.nist.gov).
Кроме исторических справок, в Отчете приведены некие тренды по степени критичности уязвимостей и степени сложности их реализаций (к слову, к самым критическим уязвимостям отнесены те, которые могут быть использованы и для компрометации персональных данных в ИСПДн, что актуально в свете ФЗ-152).
Также описаны важные процедуры SDL, касающиеся поиска уязвимостей ПО, технологий снижения риска эксплойтов и отслеживания тенденций угроз информационной безопасности.
Интерес представляет описания техник Microsoft по снижению рисков реализации уязвимостей ее продукции:
- предотвращение выполнения данных (Data Execution Prevention, DEP),
- защита от перезаписи обработчика структурных исключений (Structured Exception Handler Overwrite Protection, SEHOP),
- рандомизация размещения адресного пространства (Address space layout randomization, ASLR),
- дополнительная защита от реализации атаки переполнения буфера (/GS) и другие.
Предложены бесплатные утилиты, такие как:
- средство моделирования угроз SDL;
- шаблон SDL для Visual Studio ® Team System (Classic);
- бинарный анализатор Binscope SDL (проверка бинарных файлов на соответствие SDL);
- средство тестирования SDL Minifuzz File Fuzzer;
- упрощенная реализации Microsoft SDL;
- шаблон SDL MSF+Agile для Visual Studio Team System;
- средство тестирования регулярных выражений Regex.
Сам Отчет можно скачать по ссылкам:
— Microsoft SDL Progress Report (english)
— Отчет о развитии Microsoft SDL (по-русски)
.
Possibly Related Posts:
- В эфире Antimalware Live эксперты обсудят безопасную разработку
- II Всероссийская научная школа-семинар «Современные тенденции развития методов и технологий защиты информации»
- Кибербезопасность умных городов: вызовы, проблемы, решения
- XVI Международный форум по международной информационной безопасности
- Инновационное взаимодействие ведущих кафедр передовых вузов и индустриальных партнеров по информационной безопасности и кибербезопасности!
Эксперт сообщества Алексей Марков
Доктор техн.наук, ст.науч.сотр., CISSP, SBCI, доцент каф. ИБ МГТУ им.Н.Э.Баумана
Рубрика: bugtracking, информационная безопасность, Новости, Теория ИБ, Тестирование. Метки: Microsoft SDL, Security Development Lifecycle, Stive Lipner, безопасность производства программ, Безопасный жизненный цикл программ, Бесплатное средство моделирования угроз безопасности информации, Майкрософт СМК, Система менеджмента качества, суиб, Уязвимости программного кода. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.
IBM тоже опубликовало какой-то отчет:
http://www.rbcdaily.ru/2011/04/01/media/562949979976968