habrahabr
Хотим поделиться с вами рассказом Стива Липнера, старшего директора по направлению стратегического планирования и разработки технологий обеспечения безопасности корпорации Microsoft, который принял участие в конференции Security Development Conference 2012 в Вашингтоне 16 мая 2012:
"Этим утром, в Вашингтоне, я участвовал в Security Development Conference 2012, слушая различные мнения людей из компаний, государственных структур и академических организаций, которые делились своим опытом по адаптации безопасного цикла разработки (Security Development Lifecycle). После пленарного заседания и некоторых посещенных мной сессий, сегодня я видел выступление Скота Чарни, которое напомнило мне ранние дни, когда Microsoft вместе со своими заказчиками столкнулись с угрозами безопасности, которые поменяли доверие к продуктам и сервисам. Создание SDL было важным шагом в борьбе с этими угрозами и на текущий момент SDL продолжает помогать снижать число и серьезность уязвимостей, найденных в продуктах Microsoft.
Я вижу, что все большее количество организаций понимают ценность и важность внедрения практик безопасной разработки, и это внушает мне оптимизм, что в будущем программное обеспечение будет более безопасным по сравнению с ПО, которое было разработано ранее. Я помню, как в 1997 году я принимал участие в RSA Security Conference, сидя в фойе отеля Mark Hopkins в Сан-Франциско с несколькими сотнями человек. Сегодня ежегодная конференция RSA - это одно из главных событий в индустрии с более чем 10,000 участников. Я не уверен, что Security Development Conference будет следовать такой же траектории, но я верю что важность безопасной разработки возрастает.
В рамках конференции мы анонсировали две новых истории успеха в критичных индустриальных сценариях, где адаптация SDL находится за границами задокументированных процессов для традиционных провайдеров приложений. Правительство Индии и Itron вместе интегрировали SDL в свои процессы, и сегодня мы делимся этими историями успеха с помощью двух опубликованных примеров внедрений:
• Правительство Индии - Правительство индии определило важность целостной интеграции безопасности и выделило ключевую концепцию включения практик создания безопасного кода, включив их в черновик национального пятилетнего экономического плана. Руководство Индии надеется, что это значимый шаг, который поможет улучить безопасность ПО и сервисов создаваемых в рамках целевых программ. Индийский Центр Реагирования Компьютерных Угроз (CERT-In), непосредственно занимающийся вопросами безопасности, уже проделал важные шаги по внедрению процессов SDL и включил дальнейшее их развитие в пятилетний план, применяя Microsoft SDL как основу обеспечения безопасности. В дополнение, Национальный Информационный Центр, часть Центрального Правительства Индии, потребовало проведения тренинга по принципам SDL для более чем 10,000 Индийских специалистов по расследованиям преступлений в сфере компьютерной безопасности. Правительство Индии так же убеждает адаптировать похожие практики для бизнеса, показывая большую важность и роль безопасности при взаимодействии компаний и государственных структур. Вы можете получить дополнительную информацию о проделанных Правительством Индии шагах в примере внедрения, который опубликован и доступен для скачивания.
• Itron, Inc. - Itron является ведущим провайдером по управлению энергетическими и водными ресурсами и используется более чем в 8,000 инсталляциях по всему миру. Совсем недавно эта компания включила SDL в свои процессы разработки. С повышением уровня угроз для критической инфраструктуры в Itron поняли, что им необходимо проделать активные шаги для защиты систем, которые позволят внедрять механизмы безопасности с самого начала. Компания внедрила Microsoft SDL, и сделала эти практики обязательными на всем протяжении разработки как программного обеспечения так и оборудования. Itron на данный момент является одной из самых опытных компаний внедривших SDL в области Smart Grid. Вы можете получить дополнительную информацию о проделанных шагах в примере внедрения который доступен для скачивания.
Эти примеры показывают позитивные сдвиги в сфере безопасности для государственных структур и инфраструктуре и демонстрируют некоторые значительные улучшения в области безопасности. Сообщество, занимающееся вопросами безопасности, проделывает большую работу по популяризации этих идей, которые затем помогают создавать более безопасное ПО для всех. Мы надеемся что Security Development Conference 2012 будет толчком для еще более интересных историй внедрений в будущем году.
Вместе, как индустрия, мы ответственны за создание безопасных технологий которым можно доверять. Если ваша организация рассматривает адаптацию процесса SDL, посетите сайт Microsoft SDL, где вы можете скачать бесплатные инструменты и документацию. Так же мы создали сеть консультантов которые помогут в внедрении процесса SDL.
Ссылки по теме
