Microsoft helpt Apple bij beveiliging OS X
Gepubliceerd: Maandag 2 maart 2009
Auteur: Brenno de Winter
Microsoft helpt Apple om beveiliging in orde te krijgen. Het Think Different-bedrijf krijgt les in veilig programmeren en het goed uitbrengen van patches.
De hulp komt van het Microsoft Security Response Center (MSRC) in Redmond. Die groep is niet alleen druk met het beveiligen van de eigen producten, maar wil dat de hele softwareindustrie veiliger wordt. Het heeft daarvoor al richtlijnen opgesteld voor beter ontwikkelen van veiligere producten.
Contact met Apple
Als onderdeel van dit industriebrede initiatief organiseert Microsoft zelf jaarlijks een BlueHat-conferentie. Vorig jaar waren daarbij twee medewerkers van Apple te gast. "Sindsdien staan we in contact over allerlei onderwerpen", vertelt senior security strategist Sarah Blankinship van Microsoft aan Webwereld.
Ze stelt dat er een "goede, open dialoog" is en dat dit binnenkort zijn vruchten moet afwerpen. "Soms lijkt het erop dat we niet samenwerken, maar dat doen we echt wel op de achtergrond."
Lekken dichten
Volgens haar collega Andrew Cushman geeft Microsoft vooral advies over het patchen van lekken. De Windows-producent heeft op dat gebied een voorsprong op Apple, omdat de procedure daarvoor inmiddels goed is ingeregeld. De marktleider brengt updates maandelijks uit volgens een vast schema, terwijl de aartsrivaal grillig is met updates en klanten dus niet weten waar ze aan toe zijn. Dit speelt vooral zakelijke gebruikers parten.
Microsoft benadrukt dat de concurrentie niet minder is, maar dat op het gebied van beveiliging het om de reputatie van de industrie gaat. "Het gaat erom dat klanten vertrouwen hebben in de branche. Dat staat op het spel", stelt Cushman dan ook. "Zoiets overstijgt het belang van een enkel bedrijf."
Veilig ontwikkelen
De stap lijkt vreemd, maar is volgens Microsoft helemaal niet onlogisch. Jarenlang werd de onderneming verguisd om diens falende beveiligingsbeleid en de aanhoudende problemen voor gebruikers. In 2001 schreef Bill Gates een memo om het tij te keren. Dat mondde een jaar later uit in het Trustworthy Computing Initiatief.
Als onderdeel van dat programma is ook de Security Development Lifecycle geïntroduceerd, een initiatief voor het delen van kennis en goede voorbeelden van veilig ontwikkelen. Zo heeft het bedrijf ook de nodige methodieken ontwikkeld en levert het nu zelfs gratis en open source tools om de industrie verder te helpen.
Barrieres
Blankinship zegt dat Microsoft zelf een lange weg heeft afgelegd. Het heeft een tijd geduurd voordat echt het hele bedrijf achter dit initiatief stond. Daarom kan zij zich goed in haar concullega's verplaatsen.
"We begrijpen de barrières waar zij tegenop lopen. Die lijken sterk op de beperkingen die wij in de begindagen tegenkwamen", zegt ze over de beveiligingshulp aan Apple's ontwikkelaars. "Alles wat we kunnen doen om ze te helpen en de security-lat hoger te leggen, zullen we zeker doen."
"Het beveiligingsprobleem is complex genoeg en dat kan een bedrijf niet alleen. We willen een gemeenschap bouwen om ons te verdedigen tegen fouten en malware", vult directeur Mike Rievie van security-team MSRC aan.
Apple-woordvoerder Jurriaan Trommels wil niet inhoudelijk op de zaak ingaan. Hij laat slechts weten dat het bedrijf nooit commentaar geeft op geruchten of speculaties.
