親愛なるhabrozhitel!
2012年5月16日にワシントンで開催されたSecurity Development Conference 2012に参加した、Microsoft Corporationのセキュリティテクノロジの戦略的計画および開発のシニアディレクターであるSteve Lipnerのストーリーをお伝えしたいと思います。
「今朝、ワシントンで、私はセキュリティ開発会議2012に参加し、セキュリティ開発ライフサイクルの適応に関する経験を共有した企業、政府機関、学術機関の人々のさまざまな意見を聞きました。 本会議と私が出席したいくつかのセッションの後、今日、スコット・チャーニーのスピーチを見て、マイクロソフトとその顧客が製品とサービスへの信頼を変えるセキュリティの脅威に直面した初期の頃を思い出しました。 SDLの作成は、これらの脅威に対抗する上で重要なステップでした。現在のところ、SDLは、マイクロソフト製品で見つかった脆弱性の数と深刻度を軽減するのに引き続き役立ちます。
安全な開発手法を実装することの価値と重要性を理解する組織が増えていることがわかります。これは、以前に開発されたソフトウェアと比較して、ソフトウェアは将来より安全であるという楽観的な見方に刺激を受けます。 1997年に、サンフランシスコのマークホプキンスホテルのロビーに数百人で座っていたRSA Security Conferenceに参加したことを思い出します。 今日、毎年恒例のRSAは、10,000人以上の参加者を抱える業界の主要イベントの1つです。 セキュリティ開発会議が同じ道を進むかどうかはわかりませんが、安全な開発の重要性は高まっていると思います。
会議の一環として、SDLの適応が従来のアプリケーションプロバイダーの文書化されたプロセスの境界を超える、重要な産業シナリオでの2つの新しい成功事例を発表しました。 インド政府とItronは、SDLをプロセスに統合しました。今日、これらの成功事例を公開されている2つのケーススタディと共有しています。
• インド政府 - インド政府は、全体的な安全保障統合の重要性を特定し、安全なコード慣行を国家5カ年経済計画案に組み込むための重要な概念を強調しました。 インドのリーダーシップは、これがターゲットプログラムの一部として作成されたソフトウェアとサービスのセキュリティを向上させる重要なステップであることを望んでいます。 セキュリティ問題に直接関与しているインドのコンピューター脅威応答センター(CERT-In)は、SDLプロセスを実装するための重要な手順をすでに実行しており、セキュリティの基盤としてMicrosoft SDLを使用して、5年間の計画にさらに発展させました。 さらに、インド中央政府の一部である国立情報センターでは、10,000人を超えるインドのコンピューターセキュリティ犯罪捜査官にSDLトレーニングが必要です。 インド政府は、企業と政府機関の相互作用におけるセキュリティの重要性と役割を示し、同様の慣行をビジネスに適応させることも求めています。 公開されてダウンロード可能な実装例では、インド政府が行った手順に関する詳細情報を取得できます 。
• Itron、Inc. -Itronは、エネルギーおよび水管理の大手プロバイダーであり、世界中の8,000を超える施設で使用されています。 ごく最近、この会社は開発プロセスにSDLを含めました。 重要なインフラストラクチャに対する脅威の増加に伴い、Itronは、最初からセキュリティメカニズムを実装できるようにするシステムを保護するために、事前対策を講じる必要があることに気付きました。 同社はMicrosoft SDLを導入し、ソフトウェアとハードウェアの両方の開発を通じてこれらのプラクティスを必須にしました。 Itronは現在、Smart Grid分野でSDLを実装した最も経験豊富な企業の1つです。 ダウンロード可能な実装例で実行された手順に関する追加情報を取得できます 。
これらの例は、政府およびインフラストラクチャのセキュリティの積極的な発展を示しており、セキュリティの大幅な改善を示しています。 セキュリティコミュニティはこれらのアイデアを促進する素晴らしい仕事をしており、それはすべての人にとってより安全なソフトウェアを作成するのに役立ちます。 Security Development Conference 2012が来年、さらに興味深い実装事例の推進力となることを願っています。
一緒に、業界として、私たちはあなたが信頼できる安全な技術を作成する責任があります。 組織がSDLプロセスの適応を検討している場合は、Microsoft SDLサイトにアクセスして、無料のツールとドキュメントをダウンロードできます。 また、SDLプロセスの実装を支援するコンサルタントのネットワークを作成しました。 詳細については、 www.microsoft.com / sdlをご覧ください»
重要なインフラストラクチャアプリケーションレベルに拡張されたMicrosoftセキュア開発サイクル
All Articles