Het initiatief van Microsoft bestaat uit drie onderdelen, de Microsoft SDL Threat Modeling Tool 3.0, waarmee kan worden geanalyseerd welke problemen er zijn met software op het gebied van beveiliging en privacy, het Microsoft SDL Optimization Model en Microsoft SDL Pro Network. De programma's zullen in november worden uitgebracht.

Voor Microsoft is de release van de programma's een belangrijke stap richting een veiligere ontwikkeling van software. Steve Lipner, senior director of security engineering strategy bij Microsoft: 'Wat we in feite doen is SDL voor het ecosysteem van ontwikkelaars. Onderzoek heeft uitgewezen dat slechts 10 procent van alle organisaties testen op beveiliging tijdens de implementatie van de software. 20 procent test tijdens de verificatiefase en 70 procent wacht tot de software al in gebruik is. Dat betekent dat je de software installeert in de hoop dat niemand inbreekt'.

Zwakke plekken

De Microsoft SDL Threat Modeling Tool 3.0 is een ontwerpanalyse tool die in een zeer vroeg stadium kan analyseren wat de zwakke plekken zijn in software. De tool kan worden gebruikt voor nieuwe en bestaande applicaties voor Windows en andere platformen. De tool zelf draait echter alleen op Windows. Lipner: 'Threat modeling is een nieuwe manier om te kijken naar het ontwerp van software en te bepalen wat de vlakken zijn die extra zorg verdienen. Factoren die zullen worden onderzocht zijn de validatie van invoer, authenticatie en de versleuteling van gevoelige gegevens.

Ook mogelijke cross-site scriptingproblemen, hetgeen een belangrijk probleem heeft gevormd bij AJAX-applicaties, kunnen worden opgespoord met de tool. Lipner: 'De tool geeft de gebieden aan waar er risico's bestaan op het gebied van cross-scripting, zodat hier extra aandacht aan kan worden gegeven'. Het programma is niet nieuw, het betreft reeds versie 3, maar het is wel voor het eerst dat het vrijgegeven wordt voor iedereen, in plaats van alleen voor de ontwikkelaars van Microsoft.

Het SDL Pro Network bestaat uit een groot aantal service providers die kunnen helpen bij het implementeren van SDL, waardoor ontwikkelaars optimaal gebruik kunnen maken van het systeem. Microsoft is van mening dat het aanbieden van gratis beveiligingstechnologie├źn, gebaseerd op SDL, zal zorgen voor veiligere software, waardoor uiteindelijk ook Windows veiliger wordt. Bron: Techworld