近日,微软安全技术部资深安全项目经理、《软件安全开发生命周期》的主要作者之一Michael Howard来到北京对中国软件安全领域的技术专家们进行了为期四天的培训,与大家分享了微软在软件开发过程中确保其安全性和可靠性所采取的方法论,即软件安全开发生命周期。参与培训的有中国信息安全测评中心的安全技术专家,北大、清华, 北航等高校的教授,以及海关等政府机构的技术骨干们。本次培训是微软积极履行政府安全计划源代码协议(GSP)、建设可信赖计算环境的重要体现。
在软件开发的每一个阶段,从安全教育、安全设计、到安全响应,微软以严谨思路、创新的方法一步步地将安全性深植入软件DNA,有效地降低了安全漏洞和隐私问题的数量,以及残留漏洞的严重性。而且,软件安全生命周期作为独立于微软Windows平台的安全方法论,同样适用于Linux等开源系统,可以满足各种平台软件开发者的安全需求。在本次的培训中,Michael Howard将这一方法论的精髓与中国软件安全领域的精英们一一分享。
微软中国战略安全顾问裔云天表示:“微软一直将安全性置于所有软件开发的指导核心,并在2002年推出可信赖计算理念(Trustworthy Computing)。软件安全开发生命周期在帮助我们实现产品的安全性和可靠性方面取得了显着的成效。同时,微软还致力于与政府和业界密切合作,共同打造一个更加安全的计算环境。作为中国可信赖的伙伴,我们愿意把这一软件开发工程方法与中国的同仁分享,增强其开发更安全的软件的能力,共同打造可信赖的计算环境。”
据4月10日微软发布的第六期安全研究报告显示,随着软件公司改善了操作系统的安全性,目前第三方应用软件已成为恶意软件的主要攻击目标,2008年下半年发现的漏洞中有90%涉及到应用软件。帮助软件开发者、政府机构等全面的提升应用软件的安全性成为微软实现端对端可信计算环境美好愿景的重要组成部分。为此,微软与政府和业界展开了持续、广泛的合作和技术交流,本次的培训就是众多的技术交流之一。
中国信息安全测评中心常务副主任王贵驷说,“中国信息安全测评中心自2003年在国家发改委指导下与微软签订政府安全计划源代码协议以来,共同建立了相应的源代码查看实验室,在信息安全方面做了很多有益的尝试。测评中心这些年主要基于国际标准对信息技术产品、系统进行测试评估,感到目前国内软件安全开发水平与国际还是有很大差距,迫切需要安全开发方面的知识,如果这套方法能推广到其他软件开发商,那么对整个软件界都是一件很好的事情。此外中心自2002年起开展了注册信息安全专业人员培训(CISP),积累了较丰富的经验和基础,感觉在信息安全专业人员培训课程中十分有必要增加安全开发方法。从这个角度说,SDL是一个很好的补充,对于国内用户来说也是一件非常有意义的事。本次微软软件安全生命周期的培训令我们再次全面深入的了解了微软在软件开发安全方面的方法,这对我们更有效的控制安全风险和评估信息产品的安全性十分有帮助。”
本次培训的学员代表海关信息中心王先生说,“随着网络给生活和商务带来的极大便利,信息安全也遭受到了前所未有的严峻挑战。我们亟需一套科学的软件开发流程来加强并保证开发出的软件的安全性。本次微软安全开发方法论的培训对于国内的软件开发者,以及企业CIO们都具有重要的启发意义,让我们明白安全的产品是设计出来的, 而且必须经过严格的流程控制才可能交付一个更安全的产品。”
网友评论