我之前參加微軟 MSDN 研討會時曾經拿到一本微軟贈送的書籍,書名叫做 "The Security Development Lifecycle" (ISBN: 9780735622142),拿回來看過之後,雖然覺得真的要在公司內導入 SDL 的確不太容易,但是書中所介紹的一些安全觀念、流程、工具都蠻不錯的,我覺得每一位開發人員都應該嘗試著瞭解一下 SDL 這個東西,畢竟建立基本觀念有益無害,況且真的是好東西。
在微軟的 The Microsoft Security Development Lifecycle (SDL) 網站包含了許多 SDL 的相關資訊,從這裡開始瞭解 SDL 應該是個不錯的管道。若要瞭解如上圖的 SDL 流程各階段 ( 分 0 ~ 13 共 14 個階段 ) 的說明,可以參考 "The Microsoft Security Development Lifecycle (SDL): Process Guidance" 頁面的說明。
上個月(2008/11),微軟又推出了 3 個新的計畫與工具,分別是:
另外,微軟為了推廣 SDL 還製作了一個 The SDL Awareness Campaign 活動網站,希望所有開發人員能夠對 Security 有所認知以及能夠建立起安全開發的需求。
這個活動網站很有趣,他們提供了一系列的連載漫畫(comic strip),漫畫名稱是 The Amazing Adventures of Kevlarr and the SDL,此漫畫會從 2008/11/10 到 2009 年 4 月份每週推出一篇(有提供PDF與XPS下載),每一週的漫畫都會專注在每個 SDL 的元素(例如:threat modeling, privacy, code analysis, compiler defenses, fuzzing, FSR, 等等),至今已經推出 4 篇了。
因為是只有一頁漫畫,內容很少,但都是很精要的慢慢引導大家瞭解何謂 SDL,並示範開發人員(Hero)如何學到 SDL 的精髓,以及學會如何應用這些原理寫出更安全的程式碼。我想一週看一篇應該不會有太大壓力,各位也可以訂閱這個連載漫畫的 RSS 每週定時收看即可。
除了漫畫外,還有由一些經驗老到的 SDL 專家製作一系列的 "War Stories" 影片,這一系列的影片大約會在 2008/12/15 左右開始推出。這些影片將會介紹微軟對於安全開發的歷史(這一段書中有寫)、微軟在實際導入 SDL 的過程,讓你從過去瞭解現在,並從現在出發,邁向安全開發的路。
相關連結