Microsoft fournit gratuitement sa méthode de développement sécurisé
L'éditeur diffuse sa méthodologie SDL sous la forme d'un plug-in à installer dans le serveur de développement Team Foundation Server. Objectif : convertir la majorité des développeurs Windows.
Microsoft croit plus que jamais aux vertus de son modèle de développement sécurisé d'applications, baptisé Security Development Lifecycle (SDL).
L'éditeur a décidé d'offrir gratuitement sa méthode en téléchargement, à compter du 19 mai au soir, aux utilisateurs de son serveur de développement Team Foundation Server (TFS).
Fourni en standard avec les méthodes Agile et CMMi, TFS permet à une équipe de développeurs d'organiser son travail en « workflows », en suivant une méthodologie commune.
Lors de la mise en œuvre d'une méthodologie, chaque développeur peut continuer à utiliser les outils de Microsoft (Visual Studio, la suite Office, etc.) mais aussi des outils open source comme Eclipse, qui peuvent communiquer avec le serveur de développement de Microsoft par le biais d'un client Web.
Réduire le nombre de vulnérabilités dès la conception : SDL est quant à lui une méthode centrée sur la sécurité, qui a été conçue par Microsoft et mise en œuvre pour la première fois avec Windows Vista. Son principal objectif est d'améliorer le niveau de sécurité des applications en corrigeant les éventuelles failles de sécurité dès la conception et l'implémentation des logiciels.
Selon Microsoft, SDL a permis de réduire de moitié le nombre de vulnérabilités découvertes après un an de commercialisation dans Vista par rapport à XP (119 avec XP contre 66 pour Vista). Le résultat est encore plus flagrant avec SQL Server, puisque le nombre de failles découvertes 36 mois après le lancement commercial est passé de 34 avec la version 2000 à 3 avec SQL Server 2005.
Le template fourni aujourd'hui par Microsoft utilise la version 4.01 de SDL, la dernière de la méthodologie de Microsoft, utilisée en interne par ses 15 000 développeurs. L'outil inclut un moteur SQL qui génère des rapports publiés avec SharePoint donnant une idée du niveau de sécurité atteint pour une application donnée.
Augmenter la valeur ajoutée : Pour Microsoft, la sécurisation des applications Windows est une priorité car elle permet d'augmenter la valeur ajoutée de sa plate-forme. « Notre objectif est que la méthode SDL soit majoritairement adoptée par les développeurs qui ciblent Windows », explique Blaise Vignon, responsable du marketing des outils de développement chez Microsoft France. D'après le Gartner, 70 % des corrections de failles sont effectuées après la commercialisation des logiciels, contre seulement 30 % avant.
La firme de Redmond tente depuis l'an dernier déjà de convertir les éditeurs à SDL en publiant des guides de bonnes pratiques et en animant un réseau de fournisseurs capables d'accompagner les entreprises, mais ce template est le premier outil opérationnel fourni aux développeurs.
Conscient que le contexte de crise n'est pas idéal pour convaincre les entreprises d'investir dans une méthodologie, Microsoft insiste sur les économies réalisées au bout du compte.
« L'écriture et la diffusion de correctifs en production coûtent en moyenne 30 fois plus cher que le surcoût lié à la correction d'un bug lors de la phase de conception du logiciel. Cette différence est d'autant plus grande que le parc de PC sur lequel le logiciel a été déployé est important », explique Blaise Vignon.
Selon lui, il faut 2 000 à 3 000 euros de licence par an et par développeur pour mettre en œuvre une méthodologie avec TFS, à quoi on doit ajouter trois jours à deux semaines de formation par développeur (selon son niveau). « Le retour sur investissement est atteint en six mois dans les petites entreprises et en un an à un an et demi dans les plus grandes », assure-t-il (Source 01 Net)