猪也能飞！微软将成为安全软件开发的领导者

【6月23日外电精选】让我们先讨论一些“转变”这一现象。当规模巨大、移动迟缓的事物发生转变时，人们总是很难注意到。但是，经过十年对其软件安全承诺的负面新闻，微软似乎已经痛定思痛。近几年来，微软获得了一系列来自安全方面的赞誉，而这些表扬往往是来自那些过去批评微软最厉害的人。许多世界上最有才华的安全专家也在纷纷要求他们最支持的软件供应商能像微软那样，对安全更加重视起来。（编者按：话虽如此，但最近一段时间的微软安全漏洞还是层出不穷，看下今年六月份的安全报告便知，这个月的漏洞补丁可以单刻一张光盘。）

憎恨微软的人依然恨它，但技术方面的媒体对微软在安全方面的工作给予了很高的评价，微软所做出的努力足以使自己成为计算机软件安全的领导者。以下是一些媒体最近对微软的评价：

“在很长一段时间内，微软因为不安全的产品破坏了自己的声誉。但是，从一个产业的角度来看，我们应该正确的看到微软对安全已变得前所未有的重视。而微软计划向外界分享其安全开发生命周期过程只是其中的一个例子而已，更重要的是鼓励其他厂商能够像微软这样重视软件的安全。”——SANS NewsBites

“微软将成为安全软件开发的领导者。 ”——CNET

“五年前，当我第一次开始撰写有关信息安全的文章时，所有的作者只要在有“安全漏洞”字样的标题上提到微软，就能使自己的文章有不错的点击率。在2004年，微软的可信计算倡议也已经提出几年了，但它仍然使得软件公司的IT安全从业人员嗤之以鼻….这与今天的情况大不一样了。”——Computerworld

“Independent Security Evaluators公司的首席分析师Charlie Miller曾经成功地利用过Windows、OS X和Linux操作系统的漏洞，他表示，‘Windows 7全新的内存保护机制非常的聪明。我想微软打算在这个方面保持领先。”——The Register

“SANS研究院的首席技术官Johannes Ullrich曾经给开发者教过安全编码课程，…他认为memcpy（）函数和其他安全风险较高的函数，如strcpy()和strcat()的命运相同，在多年以来数不清的遭遇之后已经被微软彻底禁止使用了。我想知道什么时候‘Larry（甲骨文CEO）、Steve（苹果CEO）和Linus（Linux之父）’会计划在他们的产品中发布类似的安全规定。这个问题值得一问”——The Register

“苹果公司需要在安全领域吸取微软的教训，虽然这么说并不讨巧。但数年来微软应对来自病毒、恶意软件等的威胁（一部分原因是由于微软产品的用户群更大，另一部分原因是不得不承认的编程缺陷），使得机器编程一台更好的机器，迅速而果断地响应威胁。”——CrunchGear

你可以从中获得什么？

这不仅仅是媒体的报道而已。每一个普通的安全机制和漏洞保护机制都表明，微软所出品的软件的安全性经过数年的努力已经大大提高了，特别是与它的主要竞争对手相比的时候。被本公司雇员和外部研究人员发现的漏洞和几年前相比，起数量已经下降了一半以上。对于某些产品(如IIS和SQL 服务器等)而言，安全性能的改进是非常惊人的，从以前每年暴几十个漏洞利用程序，到5年才出现少数漏洞利用程序。

黑客们已经从侧重攻击Windows漏洞，转而把攻击第三方应用程序和对终端用户使用社会工程学作为主要的攻击途径。当周二补丁（Patch Tuesday）首次出现时，人们纷纷嘲笑微软。但现在，它已成为其他许多易被攻击软件厂商发布升级的一种模式，不使用定期升级补丁的供应商被顾客要求进行升级。关于周二补丁日，有兴趣的朋友可以看下“从周二补丁日和0Day谈杀软和IPS”这个文章。

当然，微软仍然遭受到了批评，想在安全方面改变大众的对自己的负面印象还有很长的路要走，但是也不能说微软没有取得重大的进展。虽然它的成功包括了许多因素：更好的补丁、基于主机的防火墙，并负责任的公布很多安全隐患，但成功的主要因素来自于安全开发生命周期（SDL）。

越来越多的软件开发者们认为应该效仿微软的编程安全模式，这甚至包括那些声称自己憎恨微软的人。媒体的报道过去了也就过去了，但是这并不会消去已经对潜在客户产生的影响。

文章看到这里，你可能会说：这篇专栏文章除了包含了给我的雇主（指微软）的荣誉之外，是不是得有个中心思想。是的，确实应该如此。

首先，SDL的成功再也不能被忽视了。在微软从一个安全的笑柄到一个安全的领导者的转变过程中，SDL发挥了巨大作用。这个转变是巨大的，它价值数十亿美元。

其次，它得到了从首席执行官到公司下层的郑重承诺。如果没有来自管理层长期的承诺，SDL的成功是很难成功的。

第三，即使得到了所有的高层管理人员的最高承诺，而且重新培训的工作人员，并且整个公司也特别的重视，SDL的完成依然花了大约五年的时间。虽然让所有的程序员转变成安全程序员可能只要花几个星期，但是要想转变一个公司的文化，花费的时间就不止几个星期了，这需要通过多年的对薄弱环节的研究，还要能提供新的工具和解决方案，这样才能最终改变根深蒂固的开发政策和过程。他们采取了而且还将继续采取内部讨论的方式，让每个人在讨论中都说出他们对某些决定的感受。

但最令人激动的是，微软把引起自身重大转变的大多数工具和数千页信息全部免费的提供给任何人。你和你的公司也可以通过利用这些东西，从而开发出出更多的安全软件。

你不必重新发明你自己的安全密码算法和密钥。微软已经在成熟的SDL模型中走了很长一段路，你可以从它总结出来的发展策略、标准和开发进程中受益很多。微软公司邀请我们所有的人加入到这个项目中，而不是把这些成就据为己有，当作一个有竞争性的卖点。总而言之，一个强大的、更安全的计算机系统将使每个人都受益。编者注：关于SDL，可以看下“应用安全与微软SDL-IT流程”一文。

如果你希望SDL能给你所在的公司带来益处，那么就从浏览微软的SDL培训和资源网页和Michael Howard的MSDN博客开始吧。我敢打赌，你不能从其他地方找到像SDL这么多免费的、能够提升软件安全能力的资源。

让竞争对手为你打广告是一回事，试着为所有人改进安全性能则是另一回事。

【编辑推荐】