Microsoft ha annunciato per Novembre prossimo tre programmi per aiutare e insegnare alle aziende come ridurre le vulnerabilità, sia nei software già completati ma soprattutto in quelli ancora da sviluppare. Più che di software (che comunque non mancherà) stiamo parlando di veri e propri piani di azione che le aziende potranno seguire per progettare e realizzare i loro software in maniera più sicura.
Il progetto si basa su quello che Microsoft chiama il Secure Development Lifecycle Optimization Model (SDL), un modello che, assicurano in quel di Redmond, permetterà ai produttori di software di tenere sempre sotto controllo ogni passo dello sviluppo a caccia di quelli che in futuro potrebbero rivelarsi pericolosi bug.
Il progetto avrà tre componenti principali. Il primo è l’SDL Pro Network, una rete di consulenze che possa assistere direttamente i gruppi di lavoro nell’implementazione del modello SDL durante le varie fasi del progetto. Microsoft si appoggerà a nove note società di consulenza e il programma sarà inizialmente limitato ad un solo anno per valutarne l’effettiva efficacia.
Il secondo punto del progetto riguarda l’acquisizione da parte delle aziende dell’SDL Optimization Model vero e proprio, che sarà scaricabile gratuitamente, sempre a partire da Novembre. L’ultimo elemento del progetto è l’SDL Threat Modeling Tool 3.0, un software già utilizzato all’interno della stessa Microsoft. Il tool offre la possibilità di modellizzare il software che si sta sviluppando e indica gli eventuali problemi che potrebbero sorgere nel modello indicato e le possibili soluzioni. Anche questo software sarà distribuito da Microsoft in maniera del tutto gratuita.
Non resta che aspettare Novembre per avere qualche dettaglio in più sul modello e per provare con mano il tool “scova-minacce”. Per vedere quanto il tutto sia realmente efficacie occorrerà spendere qualche mese in più oppure valutare di persona quali effetti abbia già avuto su alcuni software Microsoft, come Windows Vista e SQL Server.
