Microsoft veröffentlicht hauseigenen Leitfaden für sichere Softwareentwicklung

Microsoft hat eine aktualisierte Version seines erstmals Ende 2004 vorgestellten Leitfadens "The Trustworthy Computing Security Development Lifecycle" auf seinen Seiten verfügbar gemacht. Das kurz SDL genannte Dokument zeigt die von Microsoft eingeführten Prozesse bei der Entwicklung von Software auf, die im späteren Einsatz Angriffen widerstehen muss. So hat der Softwarekonzern zusätzliche sicherheitsrelevante Schritte für jeden Phase der Entwicklung eingeführt.

Unter anderem wird bereits in der Designphase ein Bedrohungsmodell entwickelt; eine statische Codeanalyse soll Fehler während der Implementierung vermeiden. Zusätzlich haben die Redmonder Code Audits und Sicherheitstests eingeführt. Am Ende des SDL prüft ein von den Entwicklern unabhängiges Team das Produkt auf Schwachstellen und Fehler. Nach Angaben von Microsoft ist die Zahl der von außen stehenden Sicherheitspezialisten in SDL-basierender Software gefundenen Sicherheitslücken signifikant geringer als in Software, die nicht nach SDL entwickelt wurde.

Siehe dazu auch: (dab)

• The Trustworthy Computing Security Development Lifecycle von Microsoft