O Windows Vista incluiu diversos recursos de segurança, entre eles um firewall melhorado, um anti-spyware (Windows Defender) e o Controle de Contas de Usuário e isso muita gente sabe. O que poucos sabem é que o Windows Vista foi a primeira versão do Windows a passar do início ao fim por um processo que agora é padrão na Microsoft, o Secure Development Lifecycle (ciclo de vida do desenvolvimento da segurança). Contente com os resultados da sua experiência, a gigante resolveu publicar toda a documentação do SDL em uma licença Creative Commons, que permite a outras empresas distribuírem e alterarem os processos ali descritos de acordo com suas necessidades.
Com os ataques se movendo para a camada de aplicativos, a Microsoft busca dar aos desenvolvedores de software os meios para programar de forma segura, usando ferramentas e práticas comprovadas, bem como material de treinamento não proprietário, explica o gerente do programa de segurança na Microsoft, David Ladd.
O que Ladd descreve é a mudança dos tipos de ataques que ocorrem na internet. Antes, os sistemas operacionais eram o alvo. Agora que o Windows está seguro, aplicativos se tornaram o elo mais vulnerável da corrente. É exatamente o que está acontecendo esta semana, com mais uma brecha sem correção no Adobe Reader . Não importa a versão do Windows usada ou quantas proteções o Windows tenha, a brecha está em outro aplicativo.
Faz todo sentido, para a Microsoft, dar a qualquer empresa, grande ou pequena, um guia para desenvolver software de forma segura: se esses softwares forem usados no Windows, a segurança do Windows, como ecossistema computacional, aumenta. Por isso, toda a documentação do SDL, que descreve como ele funciona e como ele pode ser implementado em uma organização, está disponível para ser usada, distribuída e alterada por qualquer indivíduo ou empresa.
Essa mudança ocorre nos bastidores de desenvolvimento de software, resultando em programas e sistemas mais seguros sem que o usuário perceba diferenças. Porém, está começando a ficar claro que brechas em softwares de terceiros já estão tão ou mais populares entre criminosos do que vulnerabilidades no Windows que passou pelo SDL. Creative Commons
A documentação do SDL está sendo disponibilizada, aos poucos, em uma licença Creative Commons conhecida como BY-NC-SA, que permite a qualquer um alterar e distribuir livremente o conteúdo, desde que mantenha os créditos do autor original (BY), não faça isso para fins comerciais (NC) e permite que outras pessoas que tiverem acesso à documentação tenham os mesmos direitos de redistribuição e alteração (SA).
A cláusula que não permite uso comercial (NC) não impede empresas que vendem software de fazer uso do SDL. Apenas a documentação, alterada ou não, não pode ser vendida por exemplo, como parte de treinamentos. Na prática, a Microsoft está obrigando que contribuições ao SDL sejam redistribuídas de forma gratuita.
A Microsoft espera que, ao tornar a documentação e o processo do SDL mais acessíveis e adaptáveis por meio de uma licença Creative Commons, mais pessoas comecem a desenvolver código seguro e comecem a entendem os benefícios de incorporar a segurança e a privacidade no processo de desenvolvimento, explica Ladd.
Mas o SDL não precisa ser aplicado apenas para softwares ao Windows. São princípios genéricos que podem ser aplicados até por concorrentes da empresa. O SDL consiste de práticas não proprietárias e comprovadas que podem ser aplicadas para qualquer aplicativo ou plataforma computacional, lembra Ladd.
SDL: Processo e cultura
O SDL é um processo que a Microsoft desenvolveu para fornecer aos clientes softwares de alta qualidade, projetados de forma meticulosa e testados rigorosamente, de forma a serem capazes de resistir ataques maliciosos. Todos os softwares com conectividade à web ou de classe corporativa devem passar pelo processo de SDL, afirma Ladd.
No SDL estão inclusos processos de documentação, revisão de código e uso de ferramentas com o intuito de reduzir o número de vulnerabilidades e a gravidade delas. Mas também há uma mudança de cultura: a segurança de software não é mais opcional, afirma Ladd. O SDL foi o resultado de uma mudança de consciência na Microsoft a respeito da necessidade de desenvolver softwares do início ao fim com a preocupação de que o código criado é seguro.
Essa cultura precisa se enraizar na organização inteira. Qualquer setor técnico de uma empresa de tecnologia tem um papel no desenvolvimento de software seguro, diz o especialista.
Postado por: Thatiane de Souza
Sua avaliação é importante para entregarmos a melhor notícia
O Guiame utiliza cookies e outras tecnologias semelhantes para melhorar a sua experiência acordo com a nossa Politica de privacidade e, ao continuar navegando você concorda com essas condições