Microsoft publie un rapport sur sa méthode SDL
L’éditeur dresse le bilan, sur sept ans, de sa méthode de développement sécurisé SDL (Security Development Lifecycle). Ciblant les décideurs informatiques, le rapport vise à leur faire prendre conscience des effets positifs de cette méthode sur l’impact des attaques et l’efficacité des processus en entreprise.
Le rapport, que Microsoft dit basé sur des informations internes et externes, montre notamment que l’utilisation de méthodes du type SDL permet d’identifier plus rapidement les vulnérabilités logicielles et, ainsi, d’abaisser le coût relatif à leur correction. Si les corrections de code ont lieu lors de la phase de conception et non après la mise sur le marché, les économies sont significatives, indique en effet le témoignage de la société MidAmerican Energy, qui partage son expérience après 273 jours d’application de la méthode SDL.
Ce bilan SDL souligne en outre le fait qu’une approche double, qui associe technologies et méthodologies, permet d’optimiser les bénéfices du développement sécurisé.
Enfin, le rapport montre que l’application des fonctions d’atténuation des menaces intégrées aux systèmes d’exploitation Windows, dont la prévention de l’exécution des données (DEP), la randomisation du format d’espace d’adresse (ASLR) et la protection Structured Exception Handler Overwrite Protection (SEHOP), est encore insuffisante.
Pour consulter le rapport d'avancement SDL de Microsoft : http://www.itrpress.com/cp/2011/2011-04-04_SDLProgressReportFrench-2.pdf (Source ITR News)