Windows Vista был первым продуктом, который выйдет из Редмонда, развитого в соответствии со всесторонними рекомендациями Жизненного цикла развития безопасности, также известного как SDL. Windows Server 2008 был построен под SDL также и Microsoft теперь, применяет продвинутые безопасные методы развития, рекомендации и ресурсы ко всем новым продуктам включая тех в облаке. Брайан Салливан, Менеджер по продукции безопасности команда SDL, показал, что Редмондская компания - в настоящее время поглощенная работой адаптация SDL, чтобы скроить процесс развития веб-приложений, движение, все больше необходимое, поскольку Microsoft делает прогресс с введением его программного обеспечения + Сервисная стратегия.

Основное различие между веб-приложениями и коробочными продуктами - цикл выпуска. В то время как два - или трехлетние долгие циклы выпуска весьма характерны для предложений коробки, веб-решения обычно поступают в продажу в течение месяцев или даже недель с момента, проекты получают зеленый свет.

«Это представляет что-то вроде дилеммы с точки зрения безопасности. Мы можем? t и выигранный? t позволяют нашему программному обеспечению быть опубликованным с известными слабыми местами безопасности, но мы также должны позволить командам тратить великое большинство своего времени, реализовав новые опции. Чтобы урегулировать эти требования, мы должны продолжить приспосабливать SDL к потребностям легкого веса, команд гибкой разработки», сказал Салливан.

Салливан даже указал до конца этого лета для первого вкуса нового SDL, тот, который разрешит тому же уровню безопасности, встроенной в Windows Vista и Windows Server 2008 предлагаться с веб-приложениями. «Я? m в настоящее время работающий с Майклом [Майкл Говард - Главный менеджер по Программе обеспечения безопасности в Технической группе безопасности в Microsoft] и несколько других людей в командах по всей компании (включая безопасность Онлайн-сервисов & Соблюдение, ТУЗ, и SWI), чтобы внести эти изменения в SDL, точно настроить его так, чтобы это работало еще лучше на онлайн-сервисы и другие продукты короткого цикла выпуска, чем это уже делает», добавил Салливан.

Новая Microsoft SDL надеется обеспечивать дополнительное смягчение безопасности, настроенное, чтобы добавить защиту для конечных пользователей против наиболее распространенных веб-слабых мест решений, которые, согласно Открытому Проекту безопасности веб-приложения, являются (в порядке их важности): «Сценарии поперечного места; Недостатки Инъекции; Злонамеренное Выполнение Файла; Ссылка Прямого дополнения Insecure; Взаимная Подделка Запроса Места; Утечка информации и Неподходящая Обработка ошибок; Сломанное управление Идентификацией и Сессией; Insecure Шифровальное Хранение; Insecure Communications и Отказ Ограничить Доступ URL».

«Сегодня, единственная самая большая угроза безопасности веб-приложения - Сценарии поперечного Места (XSS) уязвимость. На самом деле, я? ll сказали даже, что XSS - новое буферное переполнение, Враг государства № 1 для веб-приложений. С успешным деянием XSS нападавший может быть в состоянии достигнуть всего следующего: похитить жертву? s прикладная сессия и исполняют роль его; phish жертва? s имя пользователя и пароль; зарегистрировать жертву? s нажатия клавиш и передают обратно их нападавшему; подделать злонамеренные запросы с жертвой? s верительные грамоты идентификации, создайте червя, который нападет не только на жертву, но и всю жертву? s почтовые контакты и все их контакты, и так далее», объяснил Салливан.