微软近日称其代码比赛门铁克更安全。据微软安全规划部的一位高级安全规划经理Michael Howard介绍说,二者的区别就在于软件的安全开发周期(SDL)。为了加强产品的安全性,微软对其产品开发部署采用一种复合的方法运用其软件安全开发周期进行产品开发。
这种软件安全开发周期并不是一种空想的理论,而是切实可行的开发构想。它不仅可以大大减少软件存在的安全漏洞的数量,而且可以降低软件总体上的不安全性。
例如,Windows Vista系统就是严格按照SDL进行开发的,它是微软Windows操作平台上最安全的操作系统。
Howard还引用了赛门铁克邮件产品缓冲区溢出的漏洞来证实自己的观点。他说,漏洞并非存在于赛门铁克的产品代码中,但是用户仍然会受到攻击。这要归结于使用了第三方开发的文件分析器。
也许你知道文件分析的漏洞非常普通,但是幸亏我们引进了SDL的fuzz安全测试,这使我们的产品大大减少一大批与文件分列相关的漏洞数量。正如我所提到的,漏洞并非存在于赛门铁克的代码中,而是与其他公司提供的DLL文件有关。
另外Howard高度认同SDL能最大限度地减少文件分列漏洞出现的几率。他举例子说,比如.WPD文件分列漏洞通过fuzz安全测试就能很容易地及时检测到。而且其他危险的API接口也能通过SDL检测到,其他漏洞如.SAM文件分析漏洞及.DOC文件分析漏洞,所有赛门铁克的这些漏洞在我们的产品中都将不存在。
责任编辑:封小明
