Три последних анонса
Казалось, что океан технологии SDL был спокоен на протяжении выходных, но теперь мы рады сделать три анонса, которые, надеемся, поднимут волны в этом океане и привлекут внимание разработчиков и организаторов, которые хотят использовать SDL. Сообщения были сделаны сегодня во время конференции Black Hat в Вашингтоне:
1. Новая документация: Упрощенное внедрение Microsoft SDL
2. Новая программа: SDL Pro Network, категория «Инструменты» и новые участники
3. Новый инструмент: MSF for Agile Software Development + SDL Process Template for VSTS 2008
Упрощенная документация SDL
Начнем с выпуска документации по упрощенному внедрению Microsoft SDL. Одно из самых распространенных заблуждений насчет SDL: чтобы внедрить цикл безопасной разработки, необходимо иметь организацию, сопоставимую по размерам с Microsoft. Другое заблуждение: SDL применимо только для языков и платформ Microsoft, и вам придется использовать другую методологию, если вы пишете код на Ruby под ОС X. Упрощенная документация SDL поможет устранить эти заблуждения и объяснит, как процесс SDL может быть применен при ограниченных ресурсах и на любой платформе. Эта документация обозначает минимальный набор требований, при которых верны главные атрибуты SDL, и тем самым предоставляет эффективную модель построения эффективного цикла безопасной разработки в любой организации.
SDLProNetwork : категория «Инструменты безопасности» и новые участники
Наш второй анонс – расширение сети SDL Pro Network и включение в нее новой категории членства – «Инструменты», которая дополнит существующие категории «Консультанты» и «Обучение». Организации, представляющие категорию «Инструменты», могут производить инструменты безопасности, такие как утилиты статистического анализа, фаззеры, утилиты динамического или бинарного анализа. Инструменты безопасности являются особо важной частью цикла SDL, и мы очень рады, что теперь есть новая категория Pro Network, которая поможет организациям использовать свои инструменты и время более эффективно.
Также мы объявляем, что сеть Pro Network расширяется, и в ее состав входят семь новых участников:
· Fortify (Член группы «Инструменты»)
· Veracode (Член группы «Инструменты»)
· Codenomicon (Член группы «Инструменты»)
· Booz-Allen Hamilton (Член группы «Консультанты»)
· Casaba Security (Член группы «Консультанты»)
· Consult2Comply (Член группы «Консультанты»)
· Safelight Security Advisors (Член группы «Обучение»)
Мы приветствуем наших новых участников и надеемся, что вы выберете их или других членов Pro Network для получения консультаций, обучения или инструментов информационной безопасности.
MSF for Agile Software Development + SDL Process Template
Последний, но не менее важный анонс – выпуск первой публичной бета-версии новой MSF for Agile Software Development plus SDL Process Template for VSTS 2008 (MFS для методологии разработки Agile плюс шаблон процессов SDL для VSTS 2008), или, сокращенно, «MSF-A+SDL».Так же как и шаблон процессов SDL, который мы выпустили в прошлом году, этот шаблон помогает командам интегрировать безопасную методологию разработки непосредственно в среду разработки Visual Studio Team System. Тем не менее, MSF-A+SDL основан на новом процессе SDL-Agile. MSF-A+SDL снабжен также некоторыми совершенно новыми функциями из предложений к предыдущему шаблону процессов SDL:
· Автоматическая генерация рабочих элементов задач SDL при новых итерациях.
Если мы имеем дело с проектами Agile, которые могут существовать бесконечно долго (допустим, веб-приложение или облачный сервис без установленной «даты окончания»), то для проекта необходимо периодически заново выполнять требования SDL, как это и обозначено в SDL-Agile процессе. Шаблон MSF-A+SDL выполняет это и создает новые задачи безопасности для проекта всякий раз, когда пользователь добавляет новую итерацию.
· Автоматическая генерация рабочих элементов задач SDL для нового кода. В любой момент, когда новые проекты или веб-сайты Visual Studio подключены к репозитарию управления исходным кодом проектов MSF-A+SDL, шаблон сгенерирует новые требования SDL, соответствующие этому проекту. Например, если пользователь создает новый сайт на C#, то шаблон добавит такие требования, как отключение трассировки ASP.NET и подключение библиотеки AntiXss.
· Многое другое, о чем здесь будет скоро рассказано.
Если вы посетите конференцию Black Hat на этой неделе и захотите увидеть MSF-A+SDL своими глазами, то зайдите на выступление Брайана Салливана на тему «Безопасность в Agile, или как защитить приложения с использованием пятидневного цикла выпуска» в пятницу, 3 февраля в 1:45.
Вот несколько полезных ссылок на случай, если вы пропустили их в тексте:
Документация: упрощенное внедрение Microsoft SDL
MSF for Agile Software Development plus SDL Process Template for VSTS 2008 скачать бесплатно