Attacken aus dem Internet auf Windows, Office und Co. werden aufgrund der von Microsoft angesetzten Sicherheitsstandards bei Microsoft zunehmend abgewehrt. Angreifer nutzen dementsprechend für Attacken vermehrt Anwendungen von Drittherstellern. Die Trustworthy Computing Group von Microsoft hat diverse Hilfsprogramme vorgestellt, die den Security Development Lifecycle (SDL - eine Kombination von Technologie, Prozessen und Anwendungsbeispielen für mehr Sicherheit) erweitern. Mit dem BinScope Binary Analyzer und dem MiniFuzz File Fuzzer bekommen Entwickler und Software-Tester Werkzeuge, um Sicherheitsrisiken in ihren Programmen noch vor der Veröffentlichung zu beheben. Neben den genannten Tools steht das Whitepaper Manual Integration of the SDL Process Template zum Download bereit, eine Anleitung für die Einführung des SDL Prozesses.

• Microsoft Bin Scope Binary Analyzer: Dies Programm überprüft binären Code darauf, ob alle empfohlenen und notwendigen Security Flags, Schutzmechanismen und Kontrollen vorhanden sind. Das stellt sicher, dass Anwendungen nicht durch gängige Sicherheitsfehler beim Coding verwundbar sind.
• Microsoft MiniFuzz File Fuzzer: Dies Programm richtet sich an Software-Tester, die unerwartete Verhaltensweisen ihrer Anwendungen eingrenzen wollen. Der Fuzzer automatisiert Sicherheitsüberprüfungen und testet den Code mit verschiedenen Flow Patterns. Auf diesem Wege wird bereits im frühen Entwicklungsprozess festgestellt, ob etwa Programm-Abstürze als Sicherheitsrisiken untersucht werden müssen.

"SDL hat sich seit seiner Einführung als effizienter Prozess zur Steigerung der Softwarequalität bewährt", so Prof. Dr. Sachar Paulus, Vorstandsvorsitzender der ISSECO (International Secure Software Engineering Council e.V. ). "Dank der guten Methodologie und einfachen Umsetzbarkeit hat sich SDL mittlerweile bei vielen Entwicklern etabliert. Die beiden neuen Tools sind weitere Bausteine hin zu einer besseren, sichereren Softwareentwicklung."

Lebenszyklus bei der "sicheren" Software-Entwicklung (Quelle: Microsoft)

Der Security Development Lifecycle ist ein Kern-Element der Trustworthy Computing Initiative von Microsoft. Der Prozess wurde zunächst geschaffen, um Microsoft-intern sichere Anwendungen zu liefern und Attacken widerstehen zu können. Jedes Produkt von Microsoft, das mit dem Internet kommuniziert oder für den Unternehmenseinsatz konzipiert ist, muss den SDL-Prozess durchlaufen. Heute wird SDL als Best Practice von immer mehr externen Entwicklern nachgefragt. (am)