Microsoft comparte SDL con la comunidad en pro de más seguridad

De manera gratuita, lanza tres herramientas SDL, su metodología de desarrollo de producto para reducir vulnerabilidades en sus programas.

Autor: TCNcerrarAutor: TCN Nombre: TCN
Email: tcn@mcediciones.com
Site: http://www.revistatcn.com
Sobre el autor: RedacciónArtículos de este autor (825) - 4 Diciembre, 2008

Desde que en 2002 Bill Gates hiciera de la seguridad la máxima prioridad de Microsoft, sentando las bases de la filosofía Trustworthy Computing, la compañía ha transformado la manera en la que desarrolla su software, emite indicaciones y distribuye actualizaciones. “Ahora, Trustworthy Computing forma parte de la cultura de I+D de la empresa, y se aplica a todos los productos”, señala Andre Mintz, director de estrategia de seguridad de la Unidad de Tecnología de Seguridad de la multinacional. Y un papel fundamental lo ha desempeñado la metodología de desarrollo de software denominada SDL (siglas en inglés de ciclo de vida del desarrollo de seguridad), que ha reducido de manera significativa las vulnerabilidades en determinados productos Microsoft. Creado en 2004, SDL es un proceso que se centra en el desarrollo de código, y se aplica a los programas empresariales y a los relacionados con Internet. “El resultado es la creación de productos más seguros y, por tanto, clientes más protegidos”, remarca Mintz, y ejemplifica: Windows XP se lanzó antes de que se pusiera en marcha SDL y registró 119 vulnerabilidades en el primer año de vida. A Windows Vista se le aplicó el proceso y se contabilizaron 66 en ese mismo periodo, un 45% menos que en el anterior sistema operativo. Otro ejemplo de la mejora en la seguridad con la aplicación de SDL se da en Internet Explorer 7, que redujo en un 35% el número de vulnerabilidades respecto a la versión anterior. “Con SDL se han eliminado las grandes vulnerabilidades que suponían un gran impacto en las organizaciones. Pero en la medida en que los sistemas operativos se han ido desarrollando cada vez más seguros, las amenazas a la seguridad han ido evolucionando y moviéndose hacia el nivel de las aplicaciones”, remarca. Un informe de la compañía recoge que más del 90% de los puntos vulnerables detectados durante el primer semestre de 2008 afectaban a aplicaciones.

“Los analistas estaban reconociendo que Microsoft lo estaba haciendo muy bien, mejorando la calidad y seguridad de la programación de sus productos con SDL. Y la comunidad nos estaba pidiendo que compartiéramos SDL”, indica Mintz. “En el área de la seguridad y la programación hay muchas cosas que han de solucionarse, pero Microsoft no lo puede hacer de manera unilateral. Por ello, otros en la industria han de mejorar también su nivel”. En este sentido, la compañía recientemente ha lanzado tres productos que empresas y desarrolladores van a poder implementar de manera gratuita. Por un lado, SDL Optimization Model, una descarga que simplifica la implantación consistente y económica de SDL en los departamentos de desarrollo fuera de Microsoft. Por otro, SDL Pro Network, una red de nueve consultorías, especializada en protección de aplicaciones y capaz de guiar y soportar a los departamentos durante la implementación de SDL en sus entornos. Y, finalmente, Microsoft SDL Threat Modeling Tool beta, una herramienta que permite a los desarrolladores identificar y mitigar los posibles problemas de seguridad, ofreciendo una metodología que cualquier arquitecto de software puede seguir con eficacia.

www.microsoft.com