历史上@@,微@@软软件中存在的@@安全漏洞曾导致蠕虫病毒在全球的@@台式机和@@服务器上肆虐@@,并经常有其它问题出现@@。微@@软也因此@@遭到谴责@@。2002年@@,微@@软受到了启@@ 发@@,并发@@布了可信赖计算计划@@,将安全提到了最高日程@@,在设计和@@开发@@产品时@@,时时不忘安全问题@@。六年@@过去了@@,微@@软的@@转变似乎已经起了作用@@:从@@Windows XP升级到@@Windows Vista的@@过程中@@,安全缺陷下降了@@将近一半@@;从@@SQL Server 2000升级到@@SQL Server 2005的@@过程中@@,安全缺陷下降了@@90%。
但环境也已经发@@生了改变@@——随着计算机的@@应用重心日益向网络转移@@,网络应用已经蚕食了桌面应用@@。据@@IBM的@@X-Force研究显示@@,现在有@@60%的@@新安全缺陷都发@@生在网络应用中@@,只有@@14%的@@安全缺陷来自于五家独立的@@顶级软件厂商@@,象微@@软及其同行@@。
研究显示@@,在有安全缺陷的@@软件厂商中@@,微@@软已经由最大的@@安全缺陷软件厂商退居到第三位@@,安全缺陷只占@@2.5%;大部分安全缺陷来自于急着将产品推向市场的@@创业公司@@。微@@软称@@,70%的@@创业公司都是在产品发@@布后才进行安全测试和@@评估的@@@@。
因此@@,微@@软试图将其它厂商也转变到自己制订的@@目标上来@@,向外部开发@@人员提供免费工具@@,用于评估其软件开发@@安全测试@@、分析其软件设计@@,查找安全弱项和@@威胁@@。
微@@软负责可信赖计算的@@高级主管史蒂夫@@·利普纳说@@:“通过帮助其它厂商创建更加安全的@@软件@@,尤其是那些在微@@软平台@@上开发@@软件的@@公司@@,我们将使互联网@@更值得信赖@@。这对我们的@@业务很有益@@。”
当地时间本周二@@,微@@软宣布将于今年@@@@11月份允许用户免费下载其@@SDL优化模式和@@@@SDL威胁模式工具@@3.0。微@@软还组建了由九家安全咨询@@公司组成的@@@@SDL Pro Network,帮助开发@@人员完成@@SDL。
SDL优化模式是微@@软在创建安全软件方面改变过程和@@策略的@@计划之一@@;SDL威胁模式工具@@已经在微@@软内部使用了一年@@@@,其宗旨就是帮助分析软件设计的@@安全问题@@,指出如何在开发@@过程中规避威胁@@。
加入@@SDL Pro Network计划的@@公司有@@IOActive、Cigital、和@@Verizon Business,它们将以承包商的@@身份设定自己的@@费用标准@@。为期一年@@的@@试点计划将于今年@@@@11月份开始@@。
微@@软本身并没有进入安全咨询@@市场@@。利普纳说@@,微@@软只是尽力帮助其它公司改进其软件@@,以便计算机用户上网时受到保护@@,有一种安全感@@。他说@@:“我们并不是宣称我们就是最棒的@@@@,但我们在这一领域有丰富的@@经验@@。”
安全厂商@@Veracode首席技术官克里斯@@·索帕尔对微@@软的@@宣言大加赞赏@@,但对微@@软的@@成功经验能否被复制到开发@@团队较小的@@公司提出了质疑@@。他说@@:“SDL是为软件厂商服务的@@@@,但问题是@@,它会对那些写软件的@@大多数公司起作用吗@@?”
