zman123456
یک شنبه 31 شهریور 1387, 08:41 صبح
در آینده نزدیک شرکت مایکروسافت تصمیم دارد ابزارها و روش هایی را که در طی چند سال گذشته برای ایمن سازی نرم افزارهای خود بکار گرفته است، در اختیار همه بگذارد.
از سال 2001 میلادی، شرکت مایکروسافت موضوع امنیت و ایمن سازی نرم افزارهای تولیدی خود را جدی گرفت. تا آن زمان، اشکالات برنامه نویسی باعث بوجود آمدن راه های نفوذ مختلف و متعددی برای ویروس ها و کرم های رایانه ای می شد و سرقت اطلاعات، لطمات و خسارات جدی به موسسات و مراکز تجاری وارد می کرد.
در سال 2002، بیل گیتس رئیس مایکروسافت، طرح ویژه ای را برای ارتقاء اطمینان کاربران آغاز کرد و دو سال پس از آن، روش های ایمن سازی جدیدی به مرحله اجرا گذاشت تا نرم افزارهای تولیدی از درجه اطمینان و امنیت بالاتری برخوردار باشند. مایکروسافت مجموعه این روش ها را "چـرخـه تـوسعـه امنیت" (Security Development Lifecycle) یا SDL نامید. استفاده از این روش های ایمن سازی در تولید سیستم عامل Vista و نسخه جدید نرم افزار SQL Server به میزان قابل توجهی نقاط ضعف امنیتی را در این محصولات کاهش داد.
اکنـون نیـز گستــرش طــرح SDL به طرح جـدیـد "تـولیـد کنندگان مستقل نرم افزار" (Independent Software Vendors) یا ISV اطمینان بیشتری را برای محصولات مایکروسافت و نرم افزارهایی که بر اساس سیستم عامل Windows نوشته می شوند، ایجاد خواهد کرد.
در بیـن ابـزارهـایی کـه عـرضه خواهند شد، دو ابزار رایگان است. ابزار SDL Optimization Model پرسشنامه ای است که شیوه های ایمن سازی نرم افزار تولیدی را می سنجد. هدف این پرسشنامه، بررسی نحوه عملکرد و عکس العمل یک شرکت تولید نرم افزار به تهدیدات امنیتی جدید، اصلاحیه های امنیتی منتشره و مواردی نظیر آموزش های جدید امنیتی و شبیه سازی تهدیدات، می باشد. شرکت مایکروسافت این ابزار را از طریق سایت SDL به نشانی www.microsoft.com/sdl در آبان ماه عرضه خواهد کرد.
ابزار رایگان دیگر، SDL Threat Modeling Tool است که به طراحان نرم افزار که آشنایی چندانی با مسائل امنیت نرم افزار ندارند، این امکان را می دهد که نقاط ضعف امنیتی را در نرم افزار طراحی شده خود شناسایی کنند.
تنها گفتن اینکه که در طراحی نرم افزار باید مثل یک هکر و نفوذگر فکر کرد، کافی نیست. بسیاری از طراحان نرم افزارهای کاربردی، دانش و تجربه ای را که باید برای این کار داشته باشند، ندارند. این ابزار به طراح نرم افزار امکان می دهد تا عوامل تأثیرگذار مانند جریان اطلاعات را در نرم افزار، مرحله به مرحله بصورت نمودار مشاهده نماید. همچنین در هر مرحله، نــکـات و قـواعـد امنیتـی کـه بــایــد رعــایـت شـونــد، بـه طــراح تــذکــر داده می شود. ابــزار SDL Threat Modeling نیز در آبان ماه از طریق سایت Download Centre به نشانی msdn.microsoft.com عرضه خواهد شد.
خدمات مشاوره امنیت، ابزار دیگری است که توسط مایکروسافت در اختیار تولید کنندگان مستقل نرم افزار و دیگر موسساتی که برای مصرف خود، نرم افزار تولید می کنند، قرار خواهد گرفت. گروه SDL Pro Network از 9 شرکت فعال در زمینه های مختلف امنیت تشکیل شده و در مقابل دریافت هزینه، خدمات آزمون امنیت و ایمن سازی نرم افزار را به موسسات مختلف ارائه خواهد نمود.
از سال 2001 میلادی، شرکت مایکروسافت موضوع امنیت و ایمن سازی نرم افزارهای تولیدی خود را جدی گرفت. تا آن زمان، اشکالات برنامه نویسی باعث بوجود آمدن راه های نفوذ مختلف و متعددی برای ویروس ها و کرم های رایانه ای می شد و سرقت اطلاعات، لطمات و خسارات جدی به موسسات و مراکز تجاری وارد می کرد.
در سال 2002، بیل گیتس رئیس مایکروسافت، طرح ویژه ای را برای ارتقاء اطمینان کاربران آغاز کرد و دو سال پس از آن، روش های ایمن سازی جدیدی به مرحله اجرا گذاشت تا نرم افزارهای تولیدی از درجه اطمینان و امنیت بالاتری برخوردار باشند. مایکروسافت مجموعه این روش ها را "چـرخـه تـوسعـه امنیت" (Security Development Lifecycle) یا SDL نامید. استفاده از این روش های ایمن سازی در تولید سیستم عامل Vista و نسخه جدید نرم افزار SQL Server به میزان قابل توجهی نقاط ضعف امنیتی را در این محصولات کاهش داد.
اکنـون نیـز گستــرش طــرح SDL به طرح جـدیـد "تـولیـد کنندگان مستقل نرم افزار" (Independent Software Vendors) یا ISV اطمینان بیشتری را برای محصولات مایکروسافت و نرم افزارهایی که بر اساس سیستم عامل Windows نوشته می شوند، ایجاد خواهد کرد.
در بیـن ابـزارهـایی کـه عـرضه خواهند شد، دو ابزار رایگان است. ابزار SDL Optimization Model پرسشنامه ای است که شیوه های ایمن سازی نرم افزار تولیدی را می سنجد. هدف این پرسشنامه، بررسی نحوه عملکرد و عکس العمل یک شرکت تولید نرم افزار به تهدیدات امنیتی جدید، اصلاحیه های امنیتی منتشره و مواردی نظیر آموزش های جدید امنیتی و شبیه سازی تهدیدات، می باشد. شرکت مایکروسافت این ابزار را از طریق سایت SDL به نشانی www.microsoft.com/sdl در آبان ماه عرضه خواهد کرد.
ابزار رایگان دیگر، SDL Threat Modeling Tool است که به طراحان نرم افزار که آشنایی چندانی با مسائل امنیت نرم افزار ندارند، این امکان را می دهد که نقاط ضعف امنیتی را در نرم افزار طراحی شده خود شناسایی کنند.
تنها گفتن اینکه که در طراحی نرم افزار باید مثل یک هکر و نفوذگر فکر کرد، کافی نیست. بسیاری از طراحان نرم افزارهای کاربردی، دانش و تجربه ای را که باید برای این کار داشته باشند، ندارند. این ابزار به طراح نرم افزار امکان می دهد تا عوامل تأثیرگذار مانند جریان اطلاعات را در نرم افزار، مرحله به مرحله بصورت نمودار مشاهده نماید. همچنین در هر مرحله، نــکـات و قـواعـد امنیتـی کـه بــایــد رعــایـت شـونــد، بـه طــراح تــذکــر داده می شود. ابــزار SDL Threat Modeling نیز در آبان ماه از طریق سایت Download Centre به نشانی msdn.microsoft.com عرضه خواهد شد.
خدمات مشاوره امنیت، ابزار دیگری است که توسط مایکروسافت در اختیار تولید کنندگان مستقل نرم افزار و دیگر موسساتی که برای مصرف خود، نرم افزار تولید می کنند، قرار خواهد گرفت. گروه SDL Pro Network از 9 شرکت فعال در زمینه های مختلف امنیت تشکیل شده و در مقابل دریافت هزینه، خدمات آزمون امنیت و ایمن سازی نرم افزار را به موسسات مختلف ارائه خواهد نمود.