Beveiligingsalliantie wil open-sourcepartijen aan boord
Gepubliceerd: Woensdag 29 oktober 2008
Auteur: Brenno de Winter
Microsoft roept als lid van de beveiligingsalliantie SAFECode open-sourceprojecten op om vooral mee te werken aan betere softwareontwikkeling.
Dat bleek tijdens een rondetafelgesprek van het SAFECode, een samenwerkingsverband van EMC, Juniper Networks, Microsoft, Nokia, SAP en Symantec, tijdens de beveiligingsconferentie RSA Europe in London.
Industriebrede oplossingen
SAFECode probeert sinds een jaar met eenvoudig leesbare, heldere adviezen ontwikkelaars zover te krijgen dat zij betere keuzes maken. Het samenwerkingsverband presenteert een paper om veiligere software te schrijven in de vorm van Best Practices.
Het document bevat adviezen welke routines er beter niet gebruikt kunnen worden, welke programmeerbibliotheken helpen om problemen tot een minimum te beperken. Ook laat de groep zich expliciet uit welke cryptografie echt niet meer van deze tijd is. Zo zien de opstellers DES-versleuteling niet meer zitten omdat het alleen 56-bits is en geloven ze al helemaal niet in algoritmes die niet academisch getoetst zijn.
Open-sourceprojecten
De leden van de groep zeggen er vooral op uit te zijn de kwaliteit van software in het algemeen te verbeteren en willen dan ook meerdere partijen bij hun werk betrekken. Zo vragen komt er een adviesraad gevuld met medewerkers van overheden en opleidingsbedrijven. Ook hoopt de alliantie open-sourceprojecten te verwelkomen.
"We zijn een open groep, die zich bezig houdt met het opstellen van best practices. Ook wij hebben als Microsoft belang bij betere code bij open-sourceprojecten", vertelt Phil Reitinger, Chief Trustworthy Infrastructure Strategist, Microsoft en voorzitter SAFECode.
Richten op opleiding en standaardisatie
Als het aan SAFECode ligt dan gaat de groep binnenkort aandacht besteden aan heldere richtlijnen voor het opleiden en certificeren voor ontwikkelaars. Ook daar wil de groep wel de weg wijzen, maar belooft niet dwingend te zijn. "We geloven in best practices", Paul Kurtz, directeur van SAFECode. "Het is niet aan ons om dwingend op te treden."
Wel hoopt de groep kennis te delen met de industrie. "Wat je nu ziet is dat veel kennis uit bedrijven in deze overzichtelijke documenten komen en dat helpt de industrie vooruit", zegt Kurtz. "Open-sourceprojecten hebben ook veel ervaring opgebouwd en wat toe te voegen aan de industrie. We hopen dan ook dat we die gemeenschap mogen verwelkomen."
