历史上,微软软件中存在的安全漏洞曾导致蠕虫病毒在全球的台式机和服务器上肆虐,并经常有其它问题出现。微软也因此遭到谴责。2002年,微软受到了启 发,并发布了可信赖计算计划,将安全提到了最高日程,在设计和开发产品时,时时不忘安全问题。六年过去了,微软的转变似乎已经起了作用:从Windows XP升级到Windows Vista的过程中,安全缺陷下降了将近一半;从SQL Server 2000升级到SQL Server 2005的过程中,安全缺陷下降了90%。
但环境也已经发生了改变——随着计算机的应用重心日益向网络转移,网络应用已经蚕食了桌面应用。据IBM的X-Force研究显示,现在有60%的新安全缺陷都发生在网络应用中,只有14%的安全缺陷来自于五家独立的顶级软件厂商,象微软及其同行。
研究显示,在有安全缺陷的软件厂商中,微软已经由最大的安全缺陷软件厂商退居到第三位,安全缺陷只占2.5%;大部分安全缺陷来自于急着将产品推向市场的创业公司。微软称,70%的创业公司都是在产品发布后才进行安全测试和评估的。
因此,微软试图将其它厂商也转变到自己制订的目标上来,向外部开发人员提供免费工具,用于评估其软件开发安全测试、分析其软件设计,查找安全弱项和威胁。
微软负责可信赖计算的高级主管史蒂夫·利普纳说:“通过帮助其它厂商创建更加安全的软件,尤其是那些在微软平台上开发软件的公司,我们将使互联网更值得信赖。这对我们的业务很有益。”
当地时间本周二,微软宣布将于今年11月份允许用户免费下载其SDL优化模式和SDL威胁模式工具3.0。微软还组建了由九家安全咨询公司组成的SDL Pro Network,帮助开发人员完成SDL。
SDL优化模式是微软在创建安全软件方面改变过程和策略的计划之一;SDL威胁模式工具已经在微软内部使用了一年,其宗旨就是帮助分析软件设计的安全问题,指出如何在开发过程中规避威胁。
加入SDL Pro Network计划的公司有IOActive、Cigital、和Verizon Business,它们将以承包商的身份设定自己的费用标准。为期一年的试点计划将于今年11月份开始。
微软本身并没有进入安全咨询市场。利普纳说,微软只是尽力帮助其它公司改进其软件,以便计算机用户上网时受到保护,有一种安全感。他说:“我们并不是宣称我们就是最棒的,但我们在这一领域有丰富的经验。”
安全厂商Veracode首席技术官克里斯·索帕尔对微软的宣言大加赞赏,但对微软的成功经验能否被复制到开发团队较小的公司提出了质疑。他说:“SDL是为软件厂商服务的,但问题是,它会对那些写软件的大多数公司起作用吗?”