Microsoft SDL Process Template: La seguridad, una cuestión de proceso

Todo comenzó con un mail de Bill Gates. La seguridad era la gran prioridad y Michael Howard ha sido el encargado de materializar, desde un punto de vista técnico, esta nueva visión. Howard enseguida se dio cuenta de que la seguridad era cuestión de dos pilares: la formación de los desarrolladores (Writing Secure Code fué el gran paso en este aspecto) y, sobre todo, una cuestión de proceso. Solo un proceso de desarrollo seguro, daría los resultado necesarios. Así surgió SDL (Security Development Lifecycle). Este proceso, sobre el que podéis saber más gracias al libro The Security Development Lifecycle, es el responsable de la mejora espectacular en seguridad que los productos de Microsoft han logrado en los últimos años. No hay más que ver por ejemplo IIS7 comparado con Apache 2.2.x, como podéis ver en estos gráficos de Secunia:

IIS7 vulnerabilities Apache vulnerabilities

 

 

IIS7 patchesApache patches 

Los frutos del mail de Bill Gates, han sido muchos: mejoras en las librerías de C/C++, mejoras en el API de Windows, una guía clara a la hora de abordar la seguridad cuando desarrollamos para Windows, el excelente libro: Writing Secure Code, y así un largo etc…

Si hablamos de un proceso de desarrollo de Microsoft, parece evidente que el mejor lugar para que este proceso viva, a parte de los excelentes libros y artículos ya citado,s es en un plantilla metodológica de Team System. Pues bien, el equipo de SDL ha liberado una plantilla que facilita enormemente la implementación de SDL como complemento a nuestro proceso de desarrollo. La calidad de la plantilla es espectacular. No se trata de una de tantas plantillas 'cutres' que hay por ahí dando vueltas… Podéis descargarla y echarla un vistazo, de verdad merece la pena, aunque solo sea como ejemplo de lo que se puede hacer desde le punto de vista de incorporar procesos de desarrollo a TFS con facilidad.

Microsoft Secure Development Lifecycle

Evidentemente, SDL no es un proceso que toda empresa se deba plantear implementar. Para muchos desarrollos casi con usar FxCop y la seguir las buenas prácticas de seguridad recomendadas por Microsoft es suficiente o al menos todo lo que nuestro clientes van a pagar. Pero hay muchos proyectos en los que implementar SDL nos puede proporcionar un retorno de la inversión claro: banca, administración pública, sitios que manejan datos sensibles o privados en internet, etc… En estos casos SDL y Team System son un excelente camino hacia una implementación sencilla de un proceso de desarrollo seguro, no en vano, el ‘tagline’ de esta plantilla es ‘Making secure code easier.

Siempre se dice, que en seguridad es vital no inventar, ¿qué mejor que usar un proceso de desarrollo que ha dado grandes resultados y que se apoya en nuestra herramienta favorita de gestión de proyectos?

Si este post ha despertado vuestra curiosidad tenéis más información sobre la plantilla en el blog de Brian Harry y en el blog del equipo de SDL.

¡Un saludo!

Published 8/6/2009 7:06 por Rodrigo Corral
Comparte este post:
http://geeks.ms/blogs/rcorral/archive/2009/06/08/microsoft-sdl-process-template-la-seguridad-una-cuesti-243-n-de-proceso.aspx

Comentarios

# re: Microsoft SDL Process Template: La seguridad, una cuestión de proceso

Que dirá Michael Howard, sabiendo que todo el mérito se lo está llevando un tal Martin.

Monday, June 8, 2009 11:21 AM por Pedro

# re: Microsoft SDL Process Template: La seguridad, una cuestión de proceso

Pedro, gracias por el comentario. Ya está corregido...

¡Un saludo!

Monday, June 8, 2009 12:39 PM por Rodrigo Corral

# re: Microsoft SDL Process Template: La seguridad, una cuestión de proceso

Ya se que no es la clave del post, pero lo que más me ha sorprendido son las estadísticas de vulnerabilidades... no entiendo por que todo el mundo, yo incluido, cree que Apache es más seguro...

¡Un saludo!

Monday, June 8, 2009 6:13 PM por Ramon