माइक्रोसॉफ्ट आंतरिक सुरक्षा उपकरण जारी करता है, तरीके

माइक्रोसॉफ्ट जल्द ही अपने सॉफ्टवेयर में सुरक्षा समस्याओं की संख्या को कम करने के लिए पिछले कुछ वर्षों में उपयोग किए जाने वाले टूल और विधियों को रिलीज़ करेगा।

माइक्रोसॉफ्ट ने 2001 के आसपास गंभीरता से सुरक्षा लेना शुरू कर दिया। इसके सॉफ्टवेयर में कोडिंग समस्याओं ने दरवाजा खोला दुर्भावनापूर्ण कीड़े की एक तीव्र नई लहर, या ई-मेल सर्वरों को क्रैश करने वाले स्वयं-प्रचार कार्यक्रमों, बॉटनेट बनाए और उपयोगकर्ता के पासवर्ड चुराए, जिससे व्यवसायों को महंगा नुकसान हुआ।

जवाब में, बिल गेट्स ने 2002 की शुरुआत में विश्वसनीय कंप्यूटिंग पहल की शुरुआत की दो साल बाद कंपनी ने सुरक्षा विकास लाइफसाइक्ल (एसडीएल) या इसकी प्रक्रियाओं को परिष्कृत किया था ताकि यह सुनिश्चित किया जा सके कि यह बुलेटप्रूफ कोड के करीब लिखता है।

एसडीएल के उपयोग से सुरक्षा vulnerab की संख्या कम हो गई है माइक्रोसॉफ्ट के ट्रस्टवर्थी कंप्यूटिंग ग्रुप के लिए सुरक्षा इंजीनियरिंग रणनीति के सीनियर डायरेक्टर स्टीव लिपनेर ने कहा, "विंडोज़ विस्टा ऑपरेटिंग सिस्टम और एसक्यूएल सर्वर, सॉफ्टवेयर के पुराने संस्करणों की तुलना में, इसके डेटाबेस प्रोग्रामों में से एक ने कहा।

एसडीएल को आईएसवी में विस्तारित करना (स्वतंत्र सॉफ्टवेयर विक्रेताओं) और बैंकों जैसे उद्यमों के लिए अन्य डेवलपर्स, माइक्रोसॉफ्ट में विश्वास और विंडोज के लिए डिज़ाइन किए गए सॉफ़्टवेयर को मजबूत करते हैं, लिपनेर ने कहा।

"अगर कोई माइक्रोसॉफ्ट प्लेटफ़ॉर्म पर किसी तृतीय-पक्ष एप्लिकेशन का उपयोग कर रहा है, तो वे अभी भी माइक्रोसॉफ्ट हैं ग्राहक, "लिपनर ने कहा। "हम चाहते हैं कि उनका कंप्यूटिंग अनुभव सुरक्षित और सुरक्षित हो।"

दो टूल्स मुफ्त हैं एसडीएल ऑप्टिमाइज़ेशन मॉडल एक प्रश्नावली और चेकलिस्ट है जो संगठन के सुरक्षा विकास प्रथाओं का मूल्यांकन करता है। यह देखता है कि एक कंपनी नई सुरक्षा अलर्ट और पैच, और प्रशिक्षण और खतरे मॉडलिंग जैसे मुद्दों का जवाब देती है।

माइक्रोसॉफ्ट नवंबर में अपने एसडीएल वेब पेज पर डाउनलोड करने के लिए एसडीएल ऑप्टिमाइज़ेशन मॉडल पेश करेगा।

"हमें लगता है कि लिपनेर ने कहा कि एसडीएल धमकी मॉडलिंग टूल 3.0 नामक एक एप्लीकेशन है, जो सॉफ़्टवेयर की मदद करेगा, जो एसडीएल में शामिल होना चाहते हैं, उनके लिए एक महान संसाधन होने जा रहा है और उन्हें यह पता लगाने की जरूरत है कि वे कैसे शुरू करें। आर्किटेक्ट्स जो सुरक्षा में नहीं हैं, वे सॉफ़्टवेयर में संभावित सुरक्षा समस्याओं को पहचानने के लिए तैयार नहीं हैं।

"यदि आप एक डेवलपर हैं, तो आपको 'हमलावर की तरह सोचें' जैसी चीजें बता रही हैं," एडम शोस्टैक ने कहा, सुरक्षा विकास जीवन चक्र टीम के वरिष्ठ कार्यक्रम प्रबंधक।

यह एप्लिकेशन सॉफ्टवेयर आर्किटेक्ट आरेख पहलुओं जैसे डेटा प्रवाह को देता है माइक्रोसॉफ्ट ने प्रोग्राम के नियमों में एन्कोड किया है कि सॉफ्टवेयर के साथ काम करते समय सुरक्षा इंजीनियरों का पालन होगा। थ्रेट मॉडलिंग उपकरण के उपयोगकर्ता तुरंत प्रतिक्रिया प्राप्त करते हैं, शोस्टैक ने कहा। नवंबर में माइक्रोसॉफ्ट अपने माइक्रोसॉफ्ट डेवलपर नेटवर्क डाउनलोड सेंटर पर उपकरण रखेगा।

अंतिम घटक उन कंपनियों के समूह का गठन होता है जो एसडीएल पर अन्य कंपनियों को सलाह दे सकते हैं। एसडीएल प्रो नेटवर्क नौ सुरक्षा सेवा प्रदाताओं, परामर्श और प्रशिक्षण कंपनियों का एक समूह है।

नेटवर्क कोडिंग समस्याओं के लिए अपने आंतरिक रूप से विकसित सॉफ्टवेयर का परीक्षण करने के तरीकों पर आईएसवी और उद्यमों को सलाह दे सकता है। एसडीएल प्रो नेटवर्क नवंबर में एक पायलट चरण शुरू करेगी, लिपनर ने कहा। लिपनेर ने कहा कि उन कंपनियों को क्लासिक परामर्श शुल्क या सदस्यता सेवा द्वारा बिल के माध्यम से भुगतान किया जाएगा।

"हमें विश्वास है कि वे माइक्रोसॉफ्ट के बाहर संगठनों के लिए एक महान संसाधन साबित होने जा रहे हैं जो एसडीएल के साथ आगे बढ़ना चाहते हैं, "लिपनर ने कहा।

अधिकांश तीसरे पक्ष के विंडोज़ सॉफ्टवेयर अत्याधुनिक सुरक्षा अभ्यासों का इस्तेमाल नहीं किया गया है, जो जन मूंथर, [सीसीटी] सीटीओ के साथ एसडीएल प्रो नेटवर्क सदस्य एन। उन्होंने कहा, "माइक्रोसॉफ्ट स्वयं अपने कोड को सुरक्षित करने में काफी प्रयास कर रहा है, कभी-कभी तीसरे पक्ष से प्राप्त कोड समान गुणवत्ता स्तर से मेल नहीं खाता है।" 99

मुएंथर का मानना ​​है कि ये नए एसडीएल कार्यक्रम नहीं कर सके केवल माइक्रोसॉफ्ट के भागीदारों के कोड की गुणवत्ता को बढ़ाया है, लेकिन यह माइक्रोसॉफ्ट की अपनी सुरक्षा प्रथाओं पर भी कुछ ध्यान आकर्षित कर सकता है उन्होंने कहा, "वे शब्द को थोड़ी सी फैलाना चाहते हैं।"

सैन फ्रांसिस्को में रॉबर्ट मैकमिलन ने इस कहानी में योगदान दिया।