Giungono novità dal fronte del Security Development Lifecycle (SDL), la metodologia Microsoft per lo sviluppo di applicazioni sicure, che ha portato alle zero vulnerabilità di SQL Server 2005, piuttosto che al riconoscimento da parte di Symantec del primato in termini di tempi di risoluzione delle vulnerabilità da parte di Windows Vista.

Secondo quanto riportato su MSDN, è previsto per novembre il rilascio di due nuovi tool per l'analisi strutturata e l'assessment del livello di sicurezza interno di un'azienda, ed il varo di un'iniziativa, la SQL Pro Network, che riunirà i provider di servizi di sicurezza certificati da Microsoft stessa. Il programma SDL SQL Pro Network avrà una fase pilota lunga un anno, che coinvolgerà nove partner.

Il compito principale di questo programma sarà quello di adattare a realtà di ogni dimensione il modello di sviluppo SDL, offrendo servizi di training, consulenza in fase di analisi e verifica, ed implementazione. In un'intervista rilasciata la settimana scorsa Steve Lipner, la geniale mente a capo dell'iniziativa SDL, ha lamentato come il 70% delle Aziende affronta l'argomento sicurezza per le proprie applicazioni quando il software è già in esercizio, e solo il 10% se ne preoccupa in fase di implementazione.

L'SDL, per cui è già disponibile una Process Guidance, mira a migliorare questa situazione, fornendo un completo ciclo di vita della sicurezza che parte già dalla fase di progettazione. A tale proposito, l'SDL Threat Modeling Tool 3.0, già ampiamente testato internamente da Microsoft come testimonia il numero di versione, sarà disponibile gratuitamente per l'analisi strutturata e la mitigazione, già in fase di progettazione, del livello di rischio di un applicativo software.

In termini pratici, esso fornirà una serie di guidance (una parte integrante della documentazione di progetto ben nota a chi utilizza Visual Studio Team System ed il Microsoft Solutions Framework) per la creazione dei modelli di minaccia, un framework per l'applicazione del modello STRIDE, l'integrazione con i sistemi di bug- ed issue-tracking esistenti e funzionalità di reportistica.

Sarà infine disponibile sempre gratuitamente per il download, e sarà utilizzato dagli stessi membri della SDL SQL Pro Network, l'SDL Optimization Model, un framework progettato per consentire l'introduzione, in maniera graduale, delle metodologie di sviluppo SDL in organizzazioni di ogni dimensione, senza che sia necessario mettere in campo le risorse di cui dispone una delle quattro software house più grandi al mondo.

Basato su modelli già esistenti come l'IT Infrastructure and Application Platform Optimization model, l'SDL Optimization Model avrà il vantaggio di fornire risultati misurabili, in modo da consentire alle aziende che lo adotteranno l'autovalutazione in cinque aree del livello di sicurezza raggiunto: per capirci, un po' come accade nel mondo dello sviluppo software con i cinque livelli del CMMI.