2013年5月20日 星期一

微軟力推安全開發國際標準ISO 27034


微軟力推安全開發國際標準ISO 27034

導入軟體安全開發不再紙上談兵、各談各的調,微軟在安全開發大會上極力推動國際新標準ISO 27034 


微軟推動的安全開發生命週期(SDL)發展至今,導入標準化的作業成為現階段的主要任務,微軟高信賴度運算事業部門擔任企業副總裁的Scott Charney表示,遵循ISO/IEC 27034-1將是他們的主要目標。

多年來,微軟為了從源頭解決旗下作業系統與應用程式漏洞的問題,他們一直致力於推動安全開發生周期(Security Development Lifecycle,,SDL)思維,並以自身導入經驗來發展安全開發的生態體系。發展至今,SDL觀念漸趨成熟,已經成為全球軟體開發供應鏈不容忽視的重大議題,現在微軟打算進一步推動基於國際標準的安全開發方式──ISO/IEC 27034-1。

微軟這樣的宣示,是最近在美國舊金山召開的安全開發大會(Security Development Conference)上所強調的。目前在微軟高信賴度運算事業部門擔任企業副總裁的Scott Charney,藉由回顧微軟過去十幾年的SDL發展歷程,分析他們如何一步步地將這樣的觀念,逐漸演進、落實在自身的軟體產品開發上,以及如何同時促成軟體產業為提升安全性而彼此協同合作。而當前微軟要推動的是將安全開發能夠進一步標準化。

透過國際標準的建立,微軟企圖能消弭以往實行安全開發過程中面臨的障礙和鴻溝,一方面,借鏡全球安全專家的意見並找出實施安全開發的重要因素,協助企業確保開發安全時也能兼顧到業務營運的層面;另一方面,也讓CXO與IT相關事務的決策者,能夠了解採用新開發流程的正面效益。

ISO/IEC 27034-1是第一套專門針對開發軟體安全性所需流程與框架的國際標準,對於銷售軟體的業務來說,這套標準提供了通用的驗證型態,並為採用安全開發流程框架的作法,提供清楚而簡明扼要的大綱,同時可用來分辨自家產品與其他競爭產品之間的差異;對於購買軟體或購買服務的用戶而言,這樣的標準,讓採購者得以藉此要求各產業、各平臺與不同區域的供應商,都能要求他們落實安全開發。

微軟如此強調ISO/IEC 27034-1,還有另一個原因,那就是在這套標準的附錄中,已明確提到微軟的SDL,足以成為各單位遵循該標準的典範,這意味著採用微軟SDL,將更接近這項標準的遵循要求(2007年起,微軟SDL已經可以提供外界使用)。也因此,微軟同時宣布自己將遵循ISO/IEC 27034-1。

基於標準後,該如何移除安全開發導入的障礙?微軟高信賴度運算事業部門的軟體安全夥伴處總監Steve Lipner表示,微軟會透過27個合作夥伴協助推動SDL的採用,另外,像SAFECode這樣的組織也會提供教育訓練,例如該單位最近已開始提供免費線上課程;微軟本身也會提供免費套件,包含不針對特定平臺的工具(如Threat Modeling、Attack Surface Analyzer等工具軟體,以及SDL for Agile等文件指南)、資源與流程相關文件(像是Simplified SDL、SDL Quick Reference Guide)。

轉載自《iThome》

沒有留言:

張貼留言