Microsoft en 'secure' software in één adem noemen, zal allicht nog heel wat lezers vreemd voorkomen. Maar dat is allicht meer een achterhaald oordeel dan vaak wordt gedacht, zoals blijkt uit een gesprek met Tim Rains, in de nasleep van de Europese TechEd in Madrid. Jaren geleden liet Microsoft al zijn ontwikkelaars een (remediëring)cursus 'security' volgen, en dat wierp zijn vruchten af. Zo kennen de opeenvolgende versies van Windows sinds XP een reële da...

Microsoft en 'secure' software in één adem noemen, zal allicht nog heel wat lezers vreemd voorkomen. Maar dat is allicht meer een achterhaald oordeel dan vaak wordt gedacht, zoals blijkt uit een gesprek met Tim Rains, in de nasleep van de Europese TechEd in Madrid. Jaren geleden liet Microsoft al zijn ontwikkelaars een (remediëring)cursus 'security' volgen, en dat wierp zijn vruchten af. Zo kennen de opeenvolgende versies van Windows sinds XP een reële daling van het aantal kwetsbaarheden (inclusief het aantal 'kritieke' zwakten). Vandaag "past Microsoft die kennis nu ook toe op de cloud-producten, [... ] met op termijn geen twee verschillende 'bodies of secure code' meer." Een 'secure development lifecycle' SDL(C) in een bedrijf invoeren en hanteren is "een levend proces," aldus Rains. Sinds de introductie ervan in MS in 2004 zorgt feedback uit het MS 'security science' team ervoor dat die om de zes maanden wordt bijgewerkt. Op die wijze kan in het ontwerp van software van bij de aanvang in de 'threat modeling' fase (inschatting van de dreigingen) worden gewerkt aan een verdediging tegen de nieuwste aanvalswijzen, "om zo heelder klassen van dreigingen uit te sluiten." Tegelijkertijd spaart het hanteren van een SDL later heel wat geld uit. De kostprijs van een SDL ziet Rains dan ook veeleer als een investering waarvan "je al snel de voordelen plukt, zelfs als je maar een deel ervan implementeert." Een implementatie die je best op maat van het bedrijf doet, want het is "geen kwestie van 'een maat past iedereen'," stelt Rains, "als je maar gebruik maakt van een SDL." Derden, zoals partners, kunnen bedrijven helpen hun SDL in lijn te brengen met sector- of nationale verplichtingen. "En training is 'critical'!" Naast de Microsoft SDLC -aanpak kunnen bedrijven ook andere 'secure application programs' overwegen, zoals OpenSAMM (Software Assurance Maturity Model, een OWASP project) en BSIMM (Building In Security Maturity Model, met een software security framework op basis van securitypraktijken in 51 bedrijven), naast het aanwenden van individuele 'mitigation' tools (zoals security-gerichte testtools). SDLC-agnostische informatie over veilige software ('application security') vormt het onderwerp van de ISO 27034 standaard, die in ontwikkeling is. Guy Kindermans