SDL – Security Development Lifecycle и с чем его едят

Опубликовано: 12.04.2018

Так вот, это был некий Хлюст. Давно

был. Он не слушался старших и теперь

лежит там специально для того, чтобы

показывать умным людям дорогу.

А. и Б. Стругацкие «Пикник на обочине»

Вы знаете, в чем разница для охотника между уткой и слоном? Помимо всего прочего в том, что в слона значительно легче попасть. Он – большой. И если попасть (например, чтобы заразить его каким-нибудь новым вирусом) – это все, что вы хотите, то охота на слонов куда проще чем охота на уток. Со слонами и утками это обычно не так, а вот в программировании подобная цель случается сплошь и рядом. В конце 90-х стало ясно, что Windows – это очень большая цель и с этим надо что-то делать. Так появился SDL – Security Development Lifecycle – методика разработки безопасных программ, применяемая на Microsoft уже восемь лет.

Некоторые думают, что SDL – это изобретение теоретиков. И да, надо признать, что некоторые из разработчиков этой методики имеют ученые звания в Computer Science. Но пришла она отнюдь не из теории.

Началось все с того, что Microsoft создал свою группу быстрого реагирования на проблемы с безопасностью. Своего рода эквивалент CERT – университетского проекта времен больших компьютеров в стиле IBM 360/370. Как только выявлялась проблема, группа должна была разобраться что произошло, почему, как это исправить, в чем глубинная причина и как можно быстрее выпустить исправление. Они и сейчас это делают – именно так появляются "security updates", которые периодически заставляют вас перезагружать ваши компьютеры.

По ходу дела они начали анализировать и собирать статистику, и выяснилось несколько очень интересных вещей. А именно, три.

Комментарии запрещены.