|
 |
||
«Janvier 2009
- L
- M
- M
- J
- V
- S
- D
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
Les archives des mois précédents
Diffuser / partager / favoris
Microsoft veut convertir les éditeurs au développement sécurisé le 17-09-2008
L'éditeur publiera un guide et des outils gratuits sur son processus Security Development Lifecycle, pour réduire les failles de sécurité.
La sécurité est l'affaire de tous. Dans cet esprit, Microsoft proposera en novembre (la date n'est pas encore connue) des outils et de la documentation gratuits détaillant son modèle de développement d'applications sécurisé, SDL, Security Development Lifecycle. Celui-ci, utilisé notamment dans le développement de Vista, permettra aux éditeurs et aux développeurs d'optimiser la protection de leurs applications dès les premières étapes de leur développement.
Hausse de la qualité de l'application et réduction des vulnérabilités
Pour Microsoft, la méthode SDL offre plusieurs avantages : augmentation de la qualité de l'application, réduction du nombre de vulnérabilités existantes et détection et suppression des failles le plus rapidement possible dans le cycle de développement de l'application.
Windows Vista et le serveur SQL ont été les premiers bénéficiaires de l'utilisation du SDL. « Le nombre de vulnérabilités sur Windows XP était de 119 mais il a été développé sans SDL. Avec Vista, le nombre de failles a été divisé par deux. C'est encore plus marquant avec SQL 2000. Avant SDL, il y a eu 34 vulnérabilités dans les 36 mois qui ont suivi la release. Avec cette méthode, le serveur 2005 n'a connu que trois failles », précise Eric Mittelette, responsable chez Microsoft de l'équipe relation technique avec les développeurs.
Pour les experts en sécurité, la production de cette documentation et de ces outils est une bonne chose mais elle ne va pas tout résoudre. « Il faut aussi que les développeurs lisent la documentation et utilisent les outils. Autres limites : les développements sont de plus en plus sous-traités, ou confiés à des jeunes sans expérience, et le management n'est pas du tout prêt à assumer le surcoût de la sécurité. Sans parler des sociétés qui vivent avec une base de code très ancienne à revoir, ou des PME qui n'ont aucune compétence sécurité », signale Nicolas Ruff, expert en sécurité au centre de recherche de EADS. Mais selon Eric Mittelette, un correctif de sécurité et sa mise en ligne sont 70 à 100 fois plus chers que l'identification durant la phase de développement.
Un outil, un guide et un réseau
Concrètement, Microsoft va mettre à disposition des développeurs trois éléments qu'ils pourront télécharger. Premièrement, Microsoft SDL Threat Modeling Tool 3.0. Il s'agira d'une version plus accessible que l'actuel outil gratuit (version 2.1). « Elle présentera notamment des schémas plus faciles à comprendre pour vérifier, par exemple, si une solution d'authentification est sécurisée. Cet outil fera des préconisations en matière de testing », explique Eric Mittelette.
Deuxième élément, Microsoft SDL Optimization Model. Ce guide inclura des retours d'expérience que Microsoft a pu étudier et une aide pour mettre en oeuvre SDL. Les développeurs et éditeurs pourront aussi s'auto-évaluer pour savoir où ils se situent par rapport à la sécurité.
Enfin, Microsoft SDL Pro Network : encore en phase de développement, ce réseau regroupera des experts en sécurité. Il sera en phase de test durant la première année avec un nombre limité de clients et neuf partenaires, principalement américains, parmi lesquels Security innovation, Security university, n.runs... Ces sociétés feront notamment des analyses de menaces et des tests de pénétration sur un site qui souhaite vérifier son niveau de protection. Microsoft France espère ensuite présenter des sociétés françaises.
A noter que Microsoft SDL Threat Modeling Tool 3.0 et la documentation seront prochainement traduits en français.
Source : 01net
Les derniers articles
- 06-01-2009 Microsoft Windows 7, surprenant
- 06-01-2009 Windows Live Messenger 9 sous Windows Seven
- 06-01-2009 Les étiquettes 'Vista Capable' auraient rapporté 1,5 Md$ à Microsoft
- 03-01-2009 Ce qui se prépare aux Etats-Unis en 2009 dans la sphère IT
- 02-01-2009 Futur de Microsoft : Windows un simple plug-in de Midori ?
- 24-12-2008 Microsoft offre 5 mois de sursis supplémentaires à Windows XP
- 15-12-2008 Windows Vista soutient la lutte contre le Sida
- 11-12-2008 Microsoft lance une édition RED de Windows Vista pour lutter contre le Sida
- 02-12-2008 Windows XP, la star du marché du PC d'occasion
- 26-11-2008 Faille de sécurité dans la pile TCP/IP de Vista ?
- 24-11-2008 Un Windows 7 poids plume
- 20-11-2008 Une vulnérabilité dans la pile TCP/IP des systèmes d'exploitation Microsoft Windows Vista
- 20-11-2008 Windows 7 : des recherches fédérées en local et à distance
- 20-11-2008 Windows Live OneCare : ce n'est qu'un aurevoir !
- 18-11-2008 Vista Capable : Microsoft a-t-elle trompé volontairement le client ?
| Vos informations* : (Beta) Adresse ip : 38.103.63.60 FAI inconnu ! Via : 38.103.63.60 de Navigateur : Bot Système d'exploitation : Autre *Aucune de ces informations ne sont mémorisées |
Derniers sujets :
Windows peut il se corrompre tout seul suite incativité long ; clavier bloqué: modification non autorisée sélection vérouil ; Connexion Internet a dû mal à s'établir au démarrage... ; redevance télé ; Ranger le menu Démarrer sous Vista ;
Dernières recherches : ntdll.dll ; atikmdag ; A ne pas manquer : Restez connecté à la communauté avec la barre d'outil Forum-vista.  |
