Het bedrijf in Redmond krijgt tegenwoordig voortdurend complimenten over zijn inzet op dit vlak, vaak van dezelfde critici die Microsoft nog niet zo lang geleden de grond in boorden. Gerenommeerde beveiligingsexperts roepen hun favoriete softwareleveranciers tegenwoordig op om het voorbeeld van Microsoft te volgen.

Microsoft-haters zullen er altijd blijven, maar in de tech-media is inmiddels veel positieve berichtgeving verschenen over de manier waarop het bedrijf zichzelf een leidende rol heeft toebedeeld op het gebied van softwarebeveiliging. Laat ik een paar recente voorbeelden geven:

SANS NewsBites - "Door onveilige producten op de markt te brengen heeft Microsoft lang te lijden gehad onder een slechte reputatie op dat gebied. Het bedrijfsleven zou nu echter moeten erkennen dat er een enorme omslag heeft plaatsgevonden in de manier waarop Microsoft met beveiliging omgaat. De plannen van het bedrijf om delen van zijn Security Development Lifecycle-proces met anderen te delen is er slechts één voorbeeld van, en ze moedigen andere leveranciers aan in hun voetspoor te treden."

CNET - "Microsoft wordt het grote voorbeeld als het gaat om veilige software ontwikkeling." (CNET)

Computerworld - "Toen ik vijf jaar geleden begon met het schrijven over beveiligingssoftware, kreeg je enorme aantallen pageviews door de naam 'Microsoft' in de kop boven een artikel te combineren met het woord 'beveiligingsrisico'. In 2004 was het bedrijf al jaren bezig met zijn Trustworthy Computing Initiative, maar desondanks was het nog lang een leverancier waar IT-beveiligers liever met een boog omheen liepen. Daar is tegenwoordig geen sprake meer van."

The Register - " Het type geheugenbeveiliging dat in Windows 7 is ingebouwd zit erg slim in elkaar, vertelt Charlie Miller, de analist bij Independent Security Evaluators die eerder beveiligingslekken heeft ontdekt in Windows, OS X en Linux. 'Ik denk dat Microsoft nu op de troepen vooruit zal blijven lopen'."

The Register - "Johannes Ullrich is CTO bij het SANS Institute, dat ontwikkelaars manieren leert om om te gaan met softwarebeveiliging en met memcpy, strcpy en strcat, riskante functies die Microsoft in de ban heeft gedaan nadat ze jarenlang voor ellende hadden gezorgd. Hij vraagt zich hardop af wanneer 'Larry, Steve en Linus' soortgelijke veiligheidsmaatregelen in hun software gaan opnemen, een vraag die het waard is om serieus te worden genomen."

CrunchGear - "Het klinkt tegenstrijdig, maar Apple kan op dit gebied wel wat leren van Microsoft. Door zijn jarenlange geploeter met virussen en malware (deels doordat producten wijder zijn verspreid en, toegegeven, deels door slecht programmeerwerk) beschikt Microsoft nu over een goed geoliede machine die snel en accuraat op dreigingen weet te reageren."

De inspanningen van Microsoft worden niet alleen in de pers bejubeld. Ieder onderzoek naar beveiliging en kwetsbaarheid van software geeft aan dat de softwarebeveiliging van Microsoft enorm is verbeterd in de afgelopen jaren, zeker als je een vergelijking maakt met naaste concurrenten. Het aantal gevallen waarbij bedrijfspersoneel of externe onderzoekers veiligheidsrisico's ontdekten in software uit Redmond is met de helft gedaald ten opzichte van een paar jaar geleden. Van sommige producten, zoals IIS en SQL Server, is de beveiliging opzienbarend verbeterend. Het aantal vastgestelde beveiligingsproblemen bij deze pakketten is gedaald van tientallen per jaar tot enkele per vijf jaar.

Ook hackers hebben inmiddels in de gaten dat er bij Microsoft niet veel meer valt te halen. Hun focus is verschoven van de lekken in Windows naar third-party applicaties en naar de eindgebruiker als primair doelwit. Microsoft werd ooit met hoongelach begroet toen het zijn maandelijkse 'patchdag' aankondigde. Inmiddels is dit model omarmd door veel andere leveranciers. Bedrijven die geen gebruik maken van een dergelijk patch-schema worden daar door hun klanten kritisch op aangesproken.

Natuurlijk krijgt Microsoft nog steeds zijn deel als het gaat om kritiek op softwareproducten, en het bedrijf heeft nog een lange weg te gaan voordat de meeste kritiek zal zijn verstomd. Maar het staat als een paal boven water dat de onderneming enorme vooruitgang heeft geboekt. Daar liggen veel verschillende factoren aan ten grondslag, zoals de ontwikkeling van betere patches en host-based firewalls, en het feit dat het bedrijf zijn verantwoordelijkheden onderkent.

Maar het succes is voor het leeuwendeel te danken aan de inspanning van Microsoft bij het ontwikkelen van zijn Security Development Lifecycle (SDL)-processen. Dankzij SDL wordt het bedrijf een steeds aantrekkelijker partner; zelfs mensen die voorheen bekend stonden als notoire Microsoft-haters geven inmiddels toe dat dit een beveiligingsmodel is dat om navolging vraagt. Dergelijke positieve geluiden vinden uiteindelijk hun weg naar de media, en bereiken zo ook potentiële nieuwe klanten.

Je zult je wellicht afvragen of ik een bedoeling heb met dit artikel, afgezien van het aantrekken van lezerspubliek voor Infoworld. Welnu: ja, dat is het geval. Ten eerste wil ik duidelijk maken dat we niet langer om het succes van SDL heen kunnen. SDL heeft ervoor gezorgd dat Microsoft, ooit het onderwerp van flauwe grappen over beveiligingssoftware, tegenwoordig wordt gezien als toonaangevend op dit terrein. Dat is een verschuiving waar miljarden euro's mee zijn gemoeid.

Ten tweede wil ik wijzen op de enorme inspanningen die door de betrokken CEO's zijn geleverd, want zonder de langdurige betrokkenheid van het management zou de kans op een succesvolle verschuiving veel kleiner zijn geweest.

Het derde punt waar ik op wil wijzen is de tijdsduur van dit traject. Zelfs met veel betrokkenheid van de bovenste managementlaag, het omscholen van personeel en een duidelijke nieuwe bedrijfsfocus, kostte het vijf jaar om het tij te keren. Het duurde wellicht maar een paar weken om alle programmeurs om te scholen tot werknemers die softwareveiligheid bovenaan hun prioriteitenlijst hebben staan, maar het kostte veel meer tijd om de hele bedrijfscultuur om te vormen. Men is jarenlang bezig geweest de zwakke plekken in de bestaande werkwijze te onderzoeken en op te lossen, en ingesleten processen te veranderen. Er zijn (en er worden nog steeds) heel wat verhitte debatten gevoerd op de interne fora van het bedrijf, waarop alle werknemers worden aangespoord hun mening over specifieke besluiten kenbaar te maken.

Microsoft heeft een enorm veranderingsproces doorlopen, en het mooiste daarvan is eigenlijk dat de meeste tools die daarbij zijn gebruikt inmiddels gratis voor iedereen beschikbaar zijn, net als de duizenden pagina's aan informatie waarop veel beslissingen zijn gebaseerd. Niemand hoeft het wiel opnieuw uit te vinden of zelf op zoek te gaan naar het geheim achter het ontwikkelen van veilige software. Microsoft is inmiddels al een aardig eind op weg met de uitbouw van zijn SDL-model, en andere bedrijven kunnen nu profiteren van het beleid, de standaarden en de procedures die in Redmond zijn ontwikkeld. Microsoft had ervoor kunnen kiezen om dergelijke know-how als confidentiële bedrijfsinformatie te behandelen, maar in plaats daarvan nodigt het andere partijen uit om in de boot te stappen en mee te doen. Uiteindelijk heeft iedereen immers baat bij een krachtigere en veiligere IT-omgeving.

Mocht jouw bedrijf profijt kunnen hebben van SDL, kijk dan eerst eens op de Microsoft SDL Training and Resources-pagina en de weblog van Michael Howard. Ik daag je bij deze uit om online-bronnen te vinden die meer gratis informatie over softwarebeveiliging bieden dan deze pagina's. Sommige bedrijven verzinnen grappige advertenties waarin de concurrentie onderuit wordt gehaald. Andere bedrijven proberen op zo'n manier aan softwarebeveiliging te werken dat iedereen er wat aan heeft...

Roger A. Grimes is vaste columnist voor Infoworld.com over IT Security. Bron: Techworld