La méthode sécurité SDL
Voila un site MSDN très intéressant sur comment traiter les menaces de sécurité: Méthode SDL contre les Mécapoulets.
"La méthodologie SDL part du principe qu'il existe un groupe central au sein de l'entreprise (ou de l'éditeur de logiciels) gérant le développement et l'évolution des pratiques de sécurité recommandées et les améliorations des processus, constituant une source d'expertise pour l'entreprise en général et chargé d'effectuer une révision (la révision de sécurité finale ou FSR, « Final Security Review ») avant le lancement du logiciel.
D'après l'expérience de Microsoft, l'existence d'une telle organisation préside à la réussite de l'implémentation de la méthodologie SDL, ainsi qu'à l'amélioration de la sécurité des logiciels. Cependant, certaines entreprises peuvent recourir à un sous-traitant ou à un consultant pour jouer le rôle d'« équipe de sécurité centrale ».
Ces étapes ont été conçues et implémentées par Microsoft dans le cadre de son projet TCI (Trustworthy Computing Initiative). Les améliorations apportées à ce processus visent à réduire la quantité et la gravité des vulnérabilités de sécurité des logiciels utilisés par les clients. Dans ce document, le processus de développement de logiciels modifié, actuellement implémenté chez Microsoft, est appelé « Informatique de Confiance : Cycle de Développement Sécurisé », ou SDL."
Comments
- Anonymous
October 03, 2008
Plus d'infos sur le Microsoft TCI (Trustworthy Computing Initiative): http://www.trustworthycomputing.com