Microsoft libera cópia e adaptação de guia de programação segura

O Windows Vista incluiu diversos recursos de segurança, entre eles um firewall melhorado, um anti-spyware (Windows Defender) e o Controle de Contas de Usuário – e isso muita gente sabe. O que poucos sabem é que o Windows Vista foi a primeira versão do Windows a passar do início ao fim por um processo que agora é padrão na Microsoft, o Secure Development Lifecycle (ciclo de vida do desenvolvimento da segurança). Contente com os resultados da sua experiência, a gigante resolveu publicar toda a documentação do SDL em uma licença Creative Commons, que permite a outras empresas distribuírem e alterarem os processos ali descritos de acordo com suas necessidades.

“Com os ataques se movendo para a camada de aplicativos, a Microsoft busca dar aos desenvolvedores de software os meios para programar de forma segura, usando ferramentas e práticas comprovadas, bem como material de treinamento não proprietário”, explica o gerente do programa de segurança na Microsoft, David Ladd.

O que Ladd descreve é a mudança dos tipos de ataques que ocorrem na internet. Antes, os sistemas operacionais eram o alvo. Agora que o Windows está seguro, aplicativos se tornaram o elo mais vulnerável da corrente. É exatamente o que está acontecendo esta semana, com mais uma brecha sem correção no Adobe Reader . Não importa a versão do Windows usada ou quantas proteções o Windows tenha, a brecha está em outro aplicativo.

Faz todo sentido, para a Microsoft, dar a qualquer empresa, grande ou pequena, um guia para desenvolver software de forma segura: se esses softwares forem usados no Windows, a segurança do Windows, como “ecossistema computacional”, aumenta. Por isso, toda a documentação do SDL, que descreve como ele funciona e como ele pode ser implementado em uma organização, está disponível para ser usada, distribuída e alterada por qualquer indivíduo ou empresa.

Essa mudança ocorre nos bastidores de desenvolvimento de software, resultando em programas e sistemas mais seguros sem que o usuário perceba diferenças. Porém, está começando a ficar claro que brechas em softwares de terceiros já estão tão ou mais populares entre criminosos do que vulnerabilidades no Windows – que passou pelo SDL. Creative Commons

A documentação do SDL está sendo disponibilizada, aos poucos, em uma licença Creative Commons conhecida como BY-NC-SA, que permite a qualquer um alterar e distribuir livremente o conteúdo, desde que mantenha os créditos do autor original (BY), não faça isso para fins comerciais (NC) e permite que outras pessoas que tiverem acesso à documentação tenham os mesmos direitos de redistribuição e alteração (SA).

A cláusula que não permite uso comercial (NC) não impede empresas que vendem software de fazer uso do SDL. Apenas a documentação, alterada ou não, não pode ser vendida – por exemplo, como parte de treinamentos. Na prática, a Microsoft está obrigando que contribuições ao SDL sejam redistribuídas de forma gratuita.

“A Microsoft espera que, ao tornar a documentação e o processo do SDL mais acessíveis e adaptáveis por meio de uma licença Creative Commons, mais pessoas comecem a desenvolver código seguro e comecem a entendem os benefícios de incorporar a segurança e a privacidade no processo de desenvolvimento”, explica Ladd.

Mas o SDL não precisa ser aplicado apenas para softwares ao Windows. São princípios genéricos que podem ser aplicados até por concorrentes da empresa. “O SDL consiste de práticas não proprietárias e comprovadas que podem ser aplicadas para qualquer aplicativo ou plataforma computacional”, lembra Ladd.

SDL: Processo e cultura

“O SDL é um processo que a Microsoft desenvolveu para fornecer aos clientes softwares de alta qualidade, projetados de forma meticulosa e testados rigorosamente, de forma a serem capazes de resistir ataques maliciosos. Todos os softwares com conectividade à web ou de classe corporativa devem passar pelo processo de SDL”, afirma Ladd.

No SDL estão inclusos processos de documentação, revisão de código e uso de ferramentas com o intuito de reduzir o número de vulnerabilidades e a gravidade delas. Mas também há uma mudança de cultura: “a segurança de software não é mais opcional”, afirma Ladd. O SDL foi o resultado de uma mudança de consciência na Microsoft a respeito da necessidade de desenvolver softwares do início ao fim com a preocupação de que o código criado é seguro.

Essa cultura precisa se enraizar na organização inteira. “Qualquer setor técnico de uma empresa de tecnologia tem um papel no desenvolvimento de software seguro”, diz o especialista.

Postado por: Thatiane de Souza