微软安全研发为应用程序开发者谋福利

DoSECU 安全报道 5月21日消息:美国东部时间5月19日,外媒报道。微软欲通过推出一款集成了Visual Studio Team System的免费SDL流程模板加快其安全开发生命周期(SDL)的采用。该公司同时还推出了SDL Pro Network 新品,以及SDL流程更新。

微软欲将其安全开发生命周期(SDL)带到你身边的应用中。

在新推出的一系列产品中,微软制定了路线来加快其安全开发生命周期(SDL)在研发者人群中的采用率。首先,该公司推出免费的SDL Process Template 1.0版本,并将其与Visual Studo Team System整合。

微软安全开发生命周期团队主要安全项目经理David Ladd在一封电子邮件中说:"为了应对日益增长的安全风险,软件研发人员应该使用微软免费提供的SDL程序和工具来提升安全以及研发初期和整个研发周期过程中的应用程序隐私。"

作为微软可信赖计算努力的一部分,SDL是微软多年来为用户提供高质量和严格的测试软件的一个研发过程。除了工程师培训,SDL围绕着一系列规定的以安全和隐私为焦点的活动,例如,威胁建模,执行、安全和隐私测试期间静态分析代码扫描工具的使用。在发布阶段,SDL还包括反应计划,发布档案文件活动和最后的安全审查。

模板与Visual Studio Team System (VSTS)的整合意味着创造了Ladd所谓的"直接将研发人员创造出的许多应用与用户联系起来的通道。"VSTS为研发团队的应用架构、设计、研发和测试提供一套综合的工具。此外,模板还与运行在Team Foundation Server上的第三方工具兼容。

Ladd表示,两者合二为一,VSTS和Team Foundation Server为项目经理、研发和测试人员使用的管理软件提供了一个框架。

他补充说:"通过将SDL整合到这个框架中,每个项目角色可充分利用SDL组件轻松实现安全保证进程的证明。"

模板让基本的SDL要求和建议自动建立起来,包括使用帮助的SDL指导。此外,还提供了审计安全报告,可用来验证是否SDL达到产品发布要求。

除了模板,微软今天还推出了SDL 4.1版本的文件,对先前的SDL要求和建议以及line-of-business 应用研发的指导进行了更新。该公司还宣布,SANS Institute和SAIC已经加入了微软的SDL Pro Network。

背景资料:

SAIC  

the Science Applications International Corp. ,总部设在圣迭戈,是美国著名的跨国联合体,旗下包括西门子、通用动力、IMA、ITT技术公司、诺基亚和埃尔比特等最具实力的高技术公司。