Softwaresicherheit

Microsoft greift anderen Entwicklern unter die Arme

26.11.2008
Uli Ries ist freier Journalist in München.
Anzeige  Microsofts setzt seit Jahren auf das hauseigene SDL (Security Development Lifecycle), um möglichst sichere Anwendungen zu produzieren. Jetzt lässt der Konzern auch fremde Softwareentwickler gratis vom SDL profitieren. Außerdem bauen die Redmonder ein Beraternetzwerk auf, dass Firmen beim Design von sicheren Anwendungen helfen soll.
Allumfassend: Microsofts SDL trägt zu jedem Entwicklungsschritt eines Softwareprojektes wichtige Sicherheitschecks- und fragen bei.
Allumfassend: Microsofts SDL trägt zu jedem Entwicklungsschritt eines Softwareprojektes wichtige Sicherheitschecks- und fragen bei.
Foto: Microsoft

Microsofts SDL ist seit 2004 unabdingbarer Bestandteil aller Entwicklungsprozesse im Konzern. Das Konzept - als Folge der verheerenden Wurm-Attacken der Jahre 2002 und 2003 geboren - begleitet ein Softwareprojekt von Anfang bis Ende. Inzwischen kann Microsoft auf durch den SDL erzielte Erfolge verweisen, da die Zahl der in Microsoft-Produkten entdeckten Schwachstellen in den letzten beiden Jahren sank, während die Gesamtzahl aller in Anwendungen und Betriebssystemen aufgetauchten Lücken anstieg.

Jetzt veröffentlichen die Redmonder ein Destillat der wichtigsten Erkenntnisse und Ratschläge aus dem SDL im Rahmen des SDL Optimization Model. Das Ziel: Möglichst viele Softwareentwickler sollen von den Erfahrungen des Softwareriesen profitieren können. Microsoft will auch andere Firmen und einzelne Entwickler am gesammelten Wissen teilhaben zu lassen. Dies wird zunehmend wichtiger, da sich Softwareschädlinge immer mehr von den sicherer werdenden Betriebssystemen abwenden und verstärkt Anwendungen aufs Korn nehmen

Außerdem kündigen die Redmonder noch das SDL Pro Network an. Teil des Netzwerkes sind momentan acht Dienstleister, die andere Softwareentwickler helfen sollen, den SDL in den eigenen Entwicklungsprozess zu integrieren. Zu den Beratern gehört auch die deutsche nruns AG.

Microsoft gibt auch das SDL Threat Modeling Tool v3 frei. Das Tool greift Entwicklern dabei unter die Arme, potentiell ausnutzbare Schwächen im Design ihrer Anwendungen zu entdecken. Das Tool leitet den Entwickler an, die Funktionsweise seines Programms im Threat Modeling Tool nachzubauen. Es analysiert also keinen Sourcecode, da sich laut Microsoft Schwachstellen im Design und nicht im Code verbergen.