Security Development Lifecycle est la méthodologie de développement sécurisé de Microsoft. " L'un des plus grands défis consiste à créer des logiciels et des applications mieux sécurisés nécessitant moins de mises à jour via des correctifs. La méthode SDL vous aidera dans cette démarche ", indique la firme de Redmond en s'adressant aux développeurs.
Microsoft proposait déjà des outils gratuits en relation avec SDL alors qu'à l'origine ils se destinaient à seulement une utilisation en interne. BinScope Binary Analyzer permet par exemple d'analyser du code sous sa forme binaire pour vérifier que tous les contrôles, les mécanismes et les indicateurs de protection recommandés par SDL ont bien été mis en place. Actuellement en bêta, un nouvel outil vient d'être publié.
Comme son nom le laisse supposer, Attack Surface Analyzer s'occupe d'analyser la surface d'attaque. L'outil scrute les changements intervenus dans le système d'exploitation pendant l'installation d'un nouveau logiciel. Il permet donc au développeur de comprendre comment son code modifie la surface d'attaque de Windows avec les éventuels risques liés.
" Des vérifications portent sur l'analyse des fichiers modifiés ou nouvellement ajoutés, les clés de registre, services, contrôles ActiveX, écoute de ports, listes de contrôle d'accès et autres paramètres qui affectent la surface d'attaque d'un ordinateur "
, explique David Ladd, responsable du développement sécurisé chez Microsoft.
Attack Surface Analyzer collecte des informations pour des applications sous Windows Vista et Windows 7, ainsi que leurs pendants serveurs.
