मैं माइक्रोसॉफ्ट (http://microsoft.com/sdl) में सुरक्षा विकास लाइफसाइक्ल (एसडीएल) प्रोजेक्ट के रूप में जाना जाने वाला एक प्रोजेक्ट पर काम करता हूं - संक्षेप में यह प्रथाओं का एक सेट है जिसका उपयोग उत्पाद समूहों द्वारा सुरक्षा में सुधार के लिए उत्पादों को शिप करने से पहले किया जाना चाहिए।आप कौन सा सुरक्षित सॉफ्टवेयर विकास प्रथाओं को नियोजित करते हैं?
पिछले कुछ वर्षों में, हमने एसडीएल दस्तावेज का एक बड़ा सौदा प्रकाशित किया है, क्योंकि ग्राहक हम जो कर रहे हैं उसके बारे में अधिक जानकारी मांगते हैं।
लेकिन क्या मुझे पता करना चाहते हैं:
- आप अपने संगठन के भीतर कर रहे हैं अपने उत्पाद की सुरक्षा में सुधार करने में मदद करने?
- क्या काम करता है? क्या काम नहीं करता है?
- इस काम से सहमत होने के लिए आपको प्रबंधन कैसे मिला?
धन्यवाद।
मुझे लगता है कि यह एक अच्छे आदमी द्वारा एक अच्छा सवाल है। माइक्रोसॉफ्ट के सॉफ्टवेयर को बड़ी संख्या में उपयोगकर्ताओं को तैनात किया गया है और सुरक्षा के मामले में बेहतर प्रदर्शन कर रहा है (उदाहरण के लिए आईआईएस 4 से आईआईएस 7 की तुलना करें)। मुझे लगता है कि हाल ही में एडोब रीडर पर हालिया हमला फोकस कुछ हद तक एक स्वीकृति है जो माइक्रोसॉफ्ट उत्पादों पर हमला कर रहा है। माइक्रोसॉफ्ट का कोई मतलब नहीं है, लेकिन उन्होंने कुछ सबक सीखे हैं और बेहतर हो रहे हैं। –
@ जेफ मॉसर तो विंडोज 7 पर उस नए आईई 8 0-दिन के बारे में pwn2own पर कैसे? माइक्रोसॉफ्ट का कहना है कि जब उनका सॉफ़्टवेयर लगातार टूट जाता है तो अर्थहीन होता है। मैं जो कुछ देखता हूं वह एक्सप्लॉयट के बाद एक्सप्लॉइट है, बिल्कुल कुछ भी नहीं बदला है। – rook
@TheRook: जब भी आपका उत्पाद सैकड़ों लाख उपयोगकर्ताओं द्वारा उपयोग किया जाता है, तो आप एक लक्ष्य बन जाएंगे। सुरक्षा कठिन है और इसमें बहुत से रक्षा-गहन रणनीतियों की आवश्यकता है। यह एक बहुत ही विषम लड़ाई है जहां आपको सब कुछ के खिलाफ बचाव करना है और हमलावर को केवल एक कमजोरी खोजने की जरूरत है। इसके अतिरिक्त, इस तरह के एक व्यापक उपयोगकर्ता समुदाय के साथ, आपको एक फिक्स सत्यापित करने के लिए बहुत सारे रिग्रेशन परीक्षण करना होगा। यह कठिन है और मैं माइकल की तरह लोगों की सराहना करता हूं जो ईमानदारी से कोशिश कर रहे हैं। चलो ज्वाला युद्ध प्रवृत्तियों को अलग करते हैं और अच्छी प्रथाओं को इंगित करके और समुदाय की सहायता करके इस प्रश्न को काफी हद तक संबोधित करते हैं। –