豬也能飛!微軟將成為安全軟件開發(fā)的領(lǐng)導(dǎo)者
原創(chuàng)【51CTO.com快譯6月23日外電精選】讓我們先討論一些“轉(zhuǎn)變”這一現(xiàn)象。當(dāng)規(guī)模巨大、移動遲緩的事物發(fā)生轉(zhuǎn)變時,人們總是很難注意到。但是,經(jīng)過十年對其軟件安全承諾的負(fù)面新聞,微軟似乎已經(jīng)痛定思痛。近幾年來,微軟獲得了一系列來自安全方面的贊譽,而這些表揚往往是來自那些過去批評微軟最厲害的人。許多世界上最有才華的安全專家也在紛紛要求他們最支持的軟件供應(yīng)商能像微軟那樣,對安全更加重視起來。(51CTO編者按:話雖如此,但最近一段時間的微軟安全漏洞還是層出不窮,看下今年六月份的安全報告便知,這個月的漏洞補丁可以單刻一張光盤。)
憎恨微軟的人依然恨它,但技術(shù)方面的媒體對微軟在安全方面的工作給予了很高的評價,微軟所做出的努力足以使自己成為計算機軟件安全的領(lǐng)導(dǎo)者。以下是一些媒體最近對微軟的評價:
“在很長一段時間內(nèi),微軟因為不安全的產(chǎn)品破壞了自己的聲譽。但是,從一個產(chǎn)業(yè)的角度來看,我們應(yīng)該正確的看到微軟對安全已變得前所未有的重視。而微軟計劃向外界分享其安全開發(fā)生命周期過程只是其中的一個例子而已,更重要的是鼓勵其他廠商能夠像微軟這樣重視軟件的安全。”——SANS NewsBites
“微軟將成為安全軟件開發(fā)的領(lǐng)導(dǎo)者。 ”——CNET
“五年前,當(dāng)我第一次開始撰寫有關(guān)信息安全的文章時,所有的作者只要在有“安全漏洞”字樣的標(biāo)題上提到微軟,就能使自己的文章有不錯的點擊率。在2004年,微軟的可信計算倡議也已經(jīng)提出幾年了,但它仍然使得軟件公司的IT安全從業(yè)人員嗤之以鼻....這與今天的情況大不一樣了。”——Computerworld
“Independent Security Evaluators公司的首席分析師Charlie Miller曾經(jīng)成功地利用過Windows、OS X和Linux操作系統(tǒng)的漏洞,他表示,‘Windows 7全新的內(nèi)存保護(hù)機制非常的聰明。我想微軟打算在這個方面保持領(lǐng)先。”——The Register
“SANS研究院的首席技術(shù)官Johannes Ullrich曾經(jīng)給開發(fā)者教過安全編碼課程,...他認(rèn)為memcpy()函數(shù)和其他安全風(fēng)險較高的函數(shù),如strcpy()和strcat()的命運相同,在多年以來數(shù)不清的遭遇之后已經(jīng)被微軟徹底禁止使用了。我想知道什么時候‘Larry(甲骨文CEO)、Steve(蘋果CEO)和Linus(Linux之父)’會計劃在他們的產(chǎn)品中發(fā)布類似的安全規(guī)定。這個問題值得一問”——The Register
“蘋果公司需要在安全領(lǐng)域吸取微軟的教訓(xùn),雖然這么說并不討巧。但數(shù)年來微軟應(yīng)對來自病毒、惡意軟件等的威脅(一部分原因是由于微軟產(chǎn)品的用戶群更大,另一部分原因是不得不承認(rèn)的編程缺陷),使得機器編程一臺更好的機器,迅速而果斷地響應(yīng)威脅。”——CrunchGear
你可以從中獲得什么?
這不僅僅是媒體的報道而已。每一個普通的安全機制和漏洞保護(hù)機制都表明,微軟所出品的軟件的安全性經(jīng)過數(shù)年的努力已經(jīng)大大提高了,特別是與它的主要競爭對手相比的時候。被本公司雇員和外部研究人員發(fā)現(xiàn)的漏洞和幾年前相比,起數(shù)量已經(jīng)下降了一半以上。對于某些產(chǎn)品(如IIS和SQL 服務(wù)器等)而言,安全性能的改進(jìn)是非常驚人的,從以前每年暴幾十個漏洞利用程序,到5年才出現(xiàn)少數(shù)漏洞利用程序。
黑客們已經(jīng)從側(cè)重攻擊Windows漏洞,轉(zhuǎn)而把攻擊第三方應(yīng)用程序和對終端用戶使用社會工程學(xué)作為主要的攻擊途徑。當(dāng)周二補丁(Patch Tuesday)首次出現(xiàn)時,人們紛紛嘲笑微軟。但現(xiàn)在,它已成為其他許多易被攻擊軟件廠商發(fā)布升級的一種模式,不使用定期升級補丁的供應(yīng)商被顧客要求進(jìn)行升級。關(guān)于周二補丁日,有興趣的朋友可以看下“從周二補丁日和0Day談殺軟和IPS”這個文章。
當(dāng)然,微軟仍然遭受到了批評,想在安全方面改變大眾的對自己的負(fù)面印象還有很長的路要走,但是也不能說微軟沒有取得重大的進(jìn)展。雖然它的成功包括了許多因素:更好的補丁、基于主機的防火墻,并負(fù)責(zé)任的公布很多安全隱患,但成功的主要因素來自于安全開發(fā)生命周期(SDL)。
越來越多的軟件開發(fā)者們認(rèn)為應(yīng)該效仿微軟的編程安全模式,這甚至包括那些聲稱自己憎恨微軟的人。媒體的報道過去了也就過去了,但是這并不會消去已經(jīng)對潛在客戶產(chǎn)生的影響。
文章看到這里,你可能會說:這篇專欄文章除了包含了給我的雇主(指微軟)的榮譽之外,是不是得有個中心思想。是的,確實應(yīng)該如此。
首先,SDL的成功再也不能被忽視了。在微軟從一個安全的笑柄到一個安全的領(lǐng)導(dǎo)者的轉(zhuǎn)變過程中,SDL發(fā)揮了巨大作用。這個轉(zhuǎn)變是巨大的,它價值數(shù)十億美元。
其次,它得到了從首席執(zhí)行官到公司下層的鄭重承諾。如果沒有來自管理層長期的承諾,SDL的成功是很難成功的。
第三,即使得到了所有的高層管理人員的最高承諾,而且重新培訓(xùn)的工作人員,并且整個公司也特別的重視,SDL的完成依然花了大約五年的時間。雖然讓所有的程序員轉(zhuǎn)變成安全程序員可能只要花幾個星期,但是要想轉(zhuǎn)變一個公司的文化,花費的時間就不止幾個星期了,這需要通過多年的對薄弱環(huán)節(jié)的研究,還要能提供新的工具和解決方案,這樣才能最終改變根深蒂固的開發(fā)政策和過程。他們采取了而且還將繼續(xù)采取內(nèi)部討論的方式,讓每個人在討論中都說出他們對某些決定的感受。
但最令人激動的是,微軟把引起自身重大轉(zhuǎn)變的大多數(shù)工具和數(shù)千頁信息全部免費的提供給任何人。你和你的公司也可以通過利用這些東西,從而開發(fā)出出更多的安全軟件。
你不必重新發(fā)明你自己的安全密碼算法和密鑰。微軟已經(jīng)在成熟的SDL模型中走了很長一段路,你可以從它總結(jié)出來的發(fā)展策略、標(biāo)準(zhǔn)和開發(fā)進(jìn)程中受益很多。微軟公司邀請我們所有的人加入到這個項目中,而不是把這些成就據(jù)為己有,當(dāng)作一個有競爭性的賣點。總而言之,一個強大的、更安全的計算機系統(tǒng)將使每個人都受益。51CTO編者注:關(guān)于SDL,可以看下“應(yīng)用安全與微軟SDL-IT流程”一文。
如果你希望SDL能給你所在的公司帶來益處,那么就從瀏覽微軟的SDL培訓(xùn)和資源網(wǎng)頁和Michael Howard的MSDN博客開始吧。我敢打賭,你不能從其他地方找到像SDL這么多免費的、能夠提升軟件安全能力的資源。
讓競爭對手為你打廣告是一回事,試著為所有人改進(jìn)安全性能則是另一回事。
【編輯推薦】
【51CTO.com譯稿,非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com,且不得修改原文內(nèi)容。】
原文:Pigs fly! Microsoft leads in security 作者:Roger Grimes
