Microsoft发布内部安全工具，方法

微软很快就会发布它在过去几年中使用的工具和方法，以减少其软件中的安全问题。微软在2001年左右开始认真对待安全问题。其软件中的编码问题打开了大门到一场激烈的新一轮恶意蠕虫，或者自我传播的程序，这些程序会使电子邮件服务器崩溃，创建僵尸网络并窃取用户密码，从而对企业造成代价高昂的损失。作为回应，比尔盖茨在2002年初推出了可信计算倡议组织两年后，该公司对其所称的安全开发生命周期（SDL）或其流程进行了改进，以确保其编写近乎完美的代码。

使用SDL减少了安全漏洞微软可信赖计算集团安全工程战略高级总监Steve Lipner表示，其Windows Vista操作系统中的ilities以及其数据库程序SQL Server之一与该软件的旧版本相比较，

将SDL扩展至ISV独立软件供应商）以及诸如银行等企业的其他开发人员加强了对微软和Windows设计软件的信心，Lipner说。“如果有人在Microsoft平台上使用第三方应用程序，他们仍然是Microsoft客户“，Lipner说。 “我们希望他们的计算体验安全可靠。”

其中两种工具是免费的。 SDL优化模型是评估组织安全开发实践的问卷和清单。它着眼于公司如何响应新的安全警报和修补程序，以及培训和威胁建模等问题。

微软将在11月的SDL网页上提供可下载的SDL优化模型

“我们认为这就是对于那些想要进入SDL并想知道如何开始的人来说，这将是一个很好的资源，“Lipner说，”另一个免费赠品是名为SDL Threat Modeling Tool 3.0的应用程序，它将帮助软件“如果你是一名开发人员，告诉你诸如”像攻击者一样思考“这样的东西没有帮助，”Adam Shostack说，安全开发生命周期团队的高级项目经理

应用程序让软件架构师可以绘制数据流等方面的图表。微软已经编入安全工程师在使用软件时遵循的程序规则。 Shostack说，威胁建模工具的用户可以获得即时反馈。微软将于11月将该工具放入其微软开发者网络下载中心。

最后一部分是组建一组公司，可以在SDL上为其他公司提供建议。 SDL Pro Network由九家安全服务提供商，咨询公司和培训公司组成。该网络可以告知独立软件开发商和企业如何测试其自己开发的用于编码问题的软件。 Lipner说，SDL Pro Network将于11月开始试验阶段。 Lipner表示，这些公司将通过传统的咨询费或订阅服务的账单获得报酬。“

我们相信他们将成为微软以外的组织的一个很好的资源，它们希望推进SDL ，“Lipner说，”大多数第三方Windows软件不是使用最先进的安全实践编写的，他说SDL专业网络成员n.runs的首席技术官Jan Muenther说道。 “虽然微软自己在保护自己的代码方面付出了很多努力，但有时他们从第三方获得的代码并不符合相同的质量水平，”他说。“Muenther认为，这些新的SDL程序不能只会加强微软合作伙伴代码的质量，但它也可能引起一些人对微软自身安全实践的关注。 “他们想传播一点信息，”他说，“

在旧金山的罗伯特麦克米兰为这个故事做出了贡献。