Site Meter Modelo de Maturidade de Desenvolvimento Seguro - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Modelo de Maturidade de Desenvolvimento Seguro

Modelo de Maturidade de Desenvolvimento Seguro

  • Comments 1
  • Likes

A Microsoft é uma das empresas pioneiras na implementação de um processo de desenvolvimento de código seguro, e o seu Secure Development Lifecycle (SDL) é talvez a única metodologia de desenvolvimento seguro que já foi utilizada em projetos de larga escala com tempo suficiente para ter resultados demonstráveis. Maturidade suficiente para a Microsoft se sentir confiante em começar a "exportar" esta metodologia para ser utilizada por outras organizações para desenvolver softwares mais seguros.

Neste espírito a Microsoft anunciou três novos programas em torno do SDL, que serão lançados agora em Novembro:

SDL Pro Network, um programa que permite a parceiros oferecer serviços baseados na metodologia SDL. Estes parceiros irão utilizar o SDL como a fundação para serviços de treinamento e consultoria para ajudar organizações a produzir elas mesmo software mais seguro.

Microsoft SDL Threat Modeling Tool 3.0, uma ferramenta que facilita e automatiza a construção de um modelo de ameaças (threat model) para um software. A ferramenta estará disponível gratuitamente, e apesar da integração com o Visual Studio Team Foundation Server ele na verdade pode ser utilizado para modelagem de ameaças independente da linguagem, plataforma ou ambiente de desenvolvimento.

SDL Optimization Model, efetivamente um modelo que permite a organizações identificarem o nível de maturidade em que se encontram em relação as capacidades requeridas pelo SDL. Este modelo define cinco áreas de capacidade ("Treinamento, Política e Capacidades Organizacionais", "Requisitos e Design", "Implementação", "Verificação", "Lançamento e Resposta"), cada uma equivalente a uma das macro-fases do processo SDL, çonforme mostrado na figura abaixo:

SDL_Optimization

O modelo usa os mesmos quatro estágios de evolução definidos pelo Gartner Group para o seu Infrastructure Maturity Model (Porquê não usar o CMM? Boa pergunta, e eu não sei a  resposta - talvez porque o uso do modelo do Gartner já seja bastante utilizado pela área de vendas e serviços da Microsoft para medir a maturidade da infraestrutura e plataforma de desenvolvimento nos seus clientes). Com este modelo uma organização pode identificar em que estágio está em cada uma destas áreas de capacidade e definir as suas ações para aumentar a sua maturidade em desenvolvimento de código seguro.

Assim como a ferramenta de modelagem de ameaças, o SDL Optimization Model também vai estar disponível para download gratuito em Novembro, e pode ser utilizada por qualquer organização independente da sua arquitetura ou plataforma de desenvolvimento preferida.

Comments
  • Eu ( Fernando Cima falando aqui ) raramente vou a conferências de segurança - acho que a minha

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment