На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-2-8 на главную / новости от 2002-2-8
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 8 февраля 2002 г.

Microsoft поднимает разработчиков по учебной тревоге

На ближайший месяц отделение информационной безопасности Microsoft становится определяющей и направляющей силой софтверного гиганта.

Следуя новому курсу на повышение уровня защищенности программного обеспечения и убеждение заказчиков в том, что безопасность является высшим приоритетом компании, Microsoft отправляет своих разработчиков, испытателей и менеджеров на курсы по безопасному программированию. В продолжение месяца более 70 групп разработчиков под патронажем подразделения информационной безопасности компании будут заниматься проверкой различных компонентов ПО, входящих в операционные системы Windows ХР и будущую Windows .Net Server. «Это очень серьезно, и от нас требуются огромные усилия, — говорит директор Microsoft по информационной безопасности и руководитель данного проекта Стив Липнер (Steve Lipner). — Мы собираемся провести массу испытаний. Мы хотим вырастить в компании большое число очень квалифицированных специалистов по безопасности, и это должно привести к изменению подхода к созданию продуктов в будущем».

Не ясно, правда, как это массовое мероприятие отразится на финансовом положении Microsoft, так как, пока разработчики будут заняты обучением, они не смогут создавать продукты. Руководители Microsoft говорят, что время, необходимое на изучение вопросов безопасности, заложено в производственные планы.

Снова за парты
По словам Липнера, в последние две недели каждого, кто имеет отношение к разработке Windows XP и Windows .Net Server, усадили за парту. «Но обучение — только первый шаг», — отмечает менеджер программы Microsoft Secure Windows Initiative Майкл Говард (Michael Howard). По окончании подготовки группы должны были составить план полного анализа каждого участка кода программ, за которые они отвечают. В общей сложности Говард и его подразделение получили свыше 70 таких планов, которые группам предстоит выполнить в течение февраля, чтобы обеспечить безопасность своих участков Windows.

Отныне, по словам Говарда, каждый руководитель группы будет отвечать не только за решения, касающиеся своего участка работы, но и за конфигурирование программы как компонента Windows. Менеджеры должны задаться вопросом: «Применяют ли данную функцию 90% пользователей?». Если нет, то нужно иметь вескую причину, чтобы сделать эту функцию разрешенной по умолчанию, говорит Говард. Задача в том, чтобы обеспечить безопасность повседневной работы с компьютером. «Не всем по умолчанию нужен IIS (Microsoft's Web server), — говорит Говард. — Не все используют Index Server. Поэтому по умолчанию эти функции должны быть отключены».

Кроме того, менеджеры должны составить четкие планы удаления из Windows старых компонентов, которые сохраняются лишь для обеспечения совместимости с предыдущими версиями. Часто такие компоненты становятся источником проблем.

Код, переработанный в соответствии с новой инициативой безопасности, будет положен в основу Windows .Net Server и введен в Windows XP через Service Pack 1. Другие продукты уже прошли проверку на безопасность. Например, Office XP, по словам Липнера, несколько месяцев подвергался всестороннему анализу, прежде чем поступить в продажу в июне прошлого года. А Visual Studio.Net, комплекс инструментов разработки приложений нового поколения для интернет-сервисов, подвергся детальному анализу в декабре. «Мы долго выколачивали пыль из продукта, чтобы гарантировать отсутствие любых дыр, сквозь которые можно пробраться в систему», — сказал вице-президент корпорации по инструментам разработчика Том Баттон (Tom Button).

Microsoft надеется, что многократное повторение заклинания «Безопасность, безопасность, безопасность!» подтолкнет разработчиков — как внутри компании, так и вне ее — к созданию надежных продуктов, исключающих потребность в повторении авральных проверок. «Если после февральского рейда все закончится, инициатива будет провалена», — говорит Говард.

Критики и конкуренты, хотя и одобряют инициативу Microsoft по повышению безопасности своих продуктов, ставят под сомнение ее успех. «Это трудная задача, — говорит Мэри Энн Дэвидсон (Mary Ann Davidson), директор по информационной безопасности производителя СУБД Oracle. — То, что они делают, хорошо, это благо для всей отрасли. Но пытаться изменить корпоративную культуру — все равно что менять курс линкора». Сам Гейтс в мае 1995 года, убеждая своих сотрудников сконцентрировать внимание на разработках для интернета, сравнивал эти усилия с поворотом корабля масштабов «Титаника».

Баттон признает, что задача не из легких. «Работа в Microsoft немного напоминает попытки удержать кошек в стаде, — говорит он. — Аврал с интернетом действительно стал поворотным моментом для компании, и все происходящее в отношении безопасности очень напоминает то время».

Между тем предпринимаемые меры получили поддержку топ-менеджеров компании. Генеральный директор Microsoft Стив Баллмер (Steve Ballmer) поклялся, что, если придется выбирать между выпуском дырявых продуктов и задержкой, он предпочтет доработку. Липнер не видит в этом ничего удивительного: «Мы выпускаем продукт, когда он готов. А теперь готовность продукта означает его неуязвимость». 

 Предыдущие публикации:
2002-01-18   Гейтс: «Пора браться за повышение безопасности»
2002-01-19   Письмо Билла Гейтса: конец невинности
2002-01-31   Microsoft объединила поправки к Windows 2000
 В продолжение темы:
2002-02-11   Баги в серверном ПО Microsoft открывают двери для хакеров
2002-02-21   Microsoft готовит секьюрити-сканер
2002-02-28   Опасайтесь музыкальных червей
2002-03-02   Выпуск .Net Server откладывается
2002-03-21   Можно ли положиться на open-source?
2002-06-10   Старый код в Windows — угроза безопасности
2002-07-02   Укрепление защиты только в .Net уже обошлось Microsoft в 100 млн $
Обсуждение и комментарии
так, проходил мимо
8 Feb 2002 2:18 PM
н-н-ну ? ...

и где же флейм ?
 

Qrot
8 Feb 2002 3:31 PM
как правило, флейм начинается с замечания по делу - у тебя есть что сказать?
 

Bravo
8 Feb 2002 6:02 PM
одним выпуском сервис-паков не ограничишься.
1. им надо переписать ОС и основные приложения.
2. наладить более формализованные и налаженные отношения с людьми, находящими уязвимости. типа - сообщение, анализ, проверка, патч.
3. выпускать каждые 3 месяца сервис-пак со всеми патчами.
сколько не латай тришкин кафтан...
 

Qrot
8 Feb 2002 6:34 PM
2Bravo: а зачем ОС переписывать? что там нельзя сервиспаками вылечить, расскажи
 

qwerty
8 Feb 2002 9:59 PM
А может лучше не трогать, оно иногда работает.
 

Chkaloff
9 Feb 2002 2:20 AM
2 Bravo:
>наладить более формализованные и налаженные отношения с людьми,
>находящими уязвимости. типа - сообщение, анализ, проверка, патч.
А сейчас по-твоему они как работают?
Так и работают. Сообщение, анализ, проверка, патч, статья в кноледжбейс.
 

ZAndr - ZAndrewsmail.ru
9 Feb 2002 11:35 AM
так, глядишь, Мелкомягкие начнут внедрять у себя элементы методологии XP (eXtremal Programming). Начнут парами программировать. И это хорошо.
 

RoN - rodionlenta.ru
9 Feb 2002 12:05 PM
Кто расскажет, или даст линк, как скачиваемые хотфиксы растаскивать по хуче хостов? Краем уха слышал, что это можно как-то делать через расшарку DLLCACHE, но более конкретно - что-то не попадалось...
 

RoN - rodionlenta.ru
10 Feb 2002 11:44 PM
ZDNet.ru, вашу мать, сделайте обратно ссылку на все треды... Заколебёшься же скакать...
 

RoN - rodionlenta.ru
10 Feb 2002 11:51 PM
2 Bravo: Домен мне регистрить впадло сейчас. Т.ч. просто:
http://www.google.com/search?num=100&hl=ru&q=linux+bug&btnG =%CF%EE%E8%F1%EA+%E2+Google
 

RoN - rodionlenta.ru
11 Feb 2002 12:01 AM
На самом деле, я, прошу прощения, херею.
Чмудак какой-то набирает в поисковике "виндоз мастдай", "линух говно", "бсд сосёт", и т.д., а издание типа компуленты это подносит, как "наглядную критику".
 

eXOR
12 Feb 2002 8:41 AM
2 RoN:
Дыкть ты жа не ведешься на это? Или ты всему, что пишет компулента веришь?

2 ZAndr:
Во - первых: это не панацея
Во - вторых: есть методы и получше, кстати афаик в M$ эти самые методы, что получше и используются... да только как ни пиши, а если время поджимает, то под конец начинаешь халтурить, а иначе не успеешь и тебя нахрен уволят... да и то это один из рисков... вообще все не так просто... я думаю Билли это понимает. А вся эта беготня и широкие жесты - это PR. Такой же, как сказка о WinXP стабильной и защищенной, "как скала".
 

Павел - rosco69mail.ru
6 Jun 2002 10:10 AM
Какая прога наиболее эффективна от расшаривания моего винта, или для запрета перекачивать мои файлы, например, формата - *.PWL ??
 

~^~FasT-PuLSE~^~^~
1 Jun 2003 1:27 AM
ПавеЛ, от несанкцеонированного доступа на твой винт,ZoneAlarmPro (рекомендую)
 

прара - арараadfasdsdfs.com
7 Feb 2005 3:51 PM
Когда нибудь линукс станет такимже удобоваримым как винды или пока не помрет будет требовать яйцеголовых(фанатиков)
 

 

← январь 2002 4  5  6  7  8  10  11  12  13 март 2002 →
Реклама!
 

 

Место для Вашей рекламы!