De crux bij deze twee aankondigingen is de Security Development Lifecycle die Microsoft de afgelopen jaren heeft ontwikkeld en verfijnd. SDL is een ontwikkelmethodiek compleet met auditing en code-controletools. "Dit gaat er vanuit dat software nooit helemaal zonder fouten is, maar dat je die fouten en de impact daarvan wel moet beperken", legt programmamanager Glenn Pittaway van het SDL-team uit aan Webwereld. "Dat realisme helpt."

De Windows-producent komt nu met een SDL Process Template. Dat is een toevoeging aan zijn ontwikkelpakket Visual Studio. Ontwikkelaars krijgen daarmee direct in hun werkomgeving toegang tot duidelijke structuur en controlepunten voor controle op beveiliging al tijdens de ontwikkeling van hun product.

Rapportages

"SDL is hiermee geïntegreerd in de development-lifecycle. Dus je kunt makkelijk tussentijdse rapportages maken over hoe je project ervoor staat met betrekking tot de vooraf gestelde doelen. Ook kun je beter zien wat voor impact een bug heeft." Pittaway vertelt dat het gaat om zowel de vooraf opgestelde vereisten voor het te ontwikkelen softwareproduct als de tussentijdse fasen. "Van requirements tot release." Volgens Pittaway hebben niet alleen ontwikkelaars, maar ook programmamanagers, softwarearchitecten en andere betrokken hier baat bij.

Hij legt uit dat de vorige versie van deze aanpak nog wat omslachtig was. "Die was opgedeeld in 13 fasen, dat is nu versimpeld naar 5 stappen." Die vijf fasen zijn: de vereisten (requirements), ontwerp, implementatie, verificatie, en uiteindelijk de release van de software. Daar achteraan komt nog de reactie (response), zowel feedback van klanten als de acties van malwaremakers.

Niet meer gokken

Met de reportagefunctie valt natuurlijk ook een 'final security report' uit te draaien, vertelt de Microsoft-manager. Hoe definitief dat rapport is, is aan de ontwikkelaar zelf. Als er nog onacceptabele fouten blijken te zijn, kan de ontwikkeling nog doorgaan. "Het is aan de ontwikkelaar om te bepalen of het af is. Die kan nu onderbouwde beslissingen nemen, in plaats van te gokken."

De SDL-aanpak is sinds 2004 bij Microsoft intern al verplicht. Pittaway neemt een kleine slag om de arm: "Dat geldt voor al onze producten die voor de enterprise-markt zijn of die verbonden zijn met internet. Als jij een product weet te noemen dat daar niet onder valt, weet je er in ieder geval één meer dan ik." Applicaties of componenten die worden meegeleverd met andere producten, zoals een viewer voor graphics of geanimeerde cursors in Windows, vallen onder dat overkoepelende product.

"We hebben in 2008 al gezien dat meer dan 90 procent van de security-aanvallen niet op het besturingssysteem is gericht. De malwaremakers zoeken het hogerop; in de applicatielaag. Eigenlijk is dat niet zozeer 'hoger', maar meer in de breedte." Pittaway zegt dat die trend in 2005 al is ingezet. SDL zelf komt voort uit het Trustworthy Computing-initiatief dat Bill Gates eind 2001 aankondigde. Dat heeft tussentijds al geleid tot de flinke security-verbouwing van Windows XP middels service pack 2 (SP2).

Nieuwe leden

In november vorig jaar kwam Microsoft met de Threat Modelling Tool, eigenlijk een subset van SDL. Daarnaast is toen nog het SDL Optimization Model uitgebracht en het SDL Pro Network opgezet om kennis te delen met andere bedrijven. Security-kenniscentrum SANS Institute (SysAdmin, Audit, Network, Security) sluit nu aan bij dit proefproject met een looptijd van één jaar. Microsoft wil hiermee de zelf opgedane kennis delen voor de ontwikkeling van veiligere software om uiteindelijk het hele Windows-platform veiliger te maken.

De eerste partijen die aanhaken op deze kennisdeling zijn security-, auditing- en trainingsbedrijven. Die gespecialiseerde bedrijven mogen voor het in de praktijk brengen hiervan wel consultancy-tarieven rekenen. Het in 1989 opgerichte SANS, bekend van security-waarschuwingssysteem Internet Storm Center, doet nu ook mee. Volgens Pittaway is het nog te vroeg om te praten over succes of falen van deze aanpak, maar hij zegt dat de belangstelling vanuit de ict-industrie wel groot is.

Eerder dit jaar kwam al naar buiten dat Microsoft met SDL al de helpende hand reikt aan Apple. De concurrentie tussen de twee bedrijven is er niet minder om, maar Microsoft stelt dat het om de security-reputatie van de ict-industrie gaat. Apple is echter geen lid van het SDL-pilotproject.

Vista en veilig

SDL heeft Microsoft zelf in ieder geval al voordeel opgeleverd; producten na Windows XP hebben relatief minder beveiligingsgaten. Dit betreft Internet Explorer 7 en Windows Vista. Microsoft zelf is al met vergelijkingen gekomen over de hoeveelheid kritieke gaten die zijn aangetroffen in de eerste zes maanden van het bestaan van Windows-versies XP en Vista. Dat valt uit in het voordeel van die nieuwere, maar impopulaire versie. Sinds de komst van XP is de criminalisering van de hack- of malwarescene flink toegenomen. Kwaadwillenden doen het nu voor het geld, niet de roem.

Vóór de komst van Vista gaf Microsoft zichzelf al een acht voor het verbeteren van de eigen beveiliging. Dat zou naar eigen zeggen vijf jaar eerder, voordat Gates security tot het hoogste goed verhief, slechts een zesje zijn geweest. Direct na de aankondiging van Trustworthy Computing eind 2001 zijn alle ontwikkelaars van Microsoft op verplichte security-cursus gestuurd. Dat is zogezegd fase nul, vóór SDL. Vervolgens zijn alle ontwikkelmethoden onder de loep genomen en gaandeweg gestructureerd aangepast.