近日，微軟安全技術(shù)部資深安全項(xiàng)目經(jīng)理、《軟件安 全開(kāi)發(fā)生命周期》的主要作者之一Michael Howard來(lái)到北京對(duì)中國(guó)軟件安全領(lǐng)域的技術(shù)專家們進(jìn)行了為期四天的培訓(xùn)，與大家分享了微軟在軟件開(kāi)發(fā)過(guò)程中確保其安全性和可靠性所采取的方法論，即軟 件安全開(kāi)發(fā)生命周期。參與培訓(xùn)的有中國(guó)信息安全測(cè)評(píng)中心的安全技術(shù)專家，北大、清華, 北航等高校的教授，以及海關(guān)等政府機(jī)構(gòu)的技術(shù)骨干們。本次培訓(xùn)是微軟積極履行政府安全計(jì)劃源代碼協(xié)議（GSP）、建設(shè)可信賴計(jì)算環(huán)境的重要體現(xiàn)。

  在軟件開(kāi)發(fā)的每一個(gè)階段，從安全教育、安全設(shè)計(jì)、到安全響應(yīng)，微軟以嚴(yán)謹(jǐn)思路、創(chuàng)新的方法一步步地將安全性深植入軟件DNA，有效地降低了安全漏洞和隱私 問(wèn)題的數(shù)量，以及殘留漏洞的嚴(yán)重性。而且，軟件安全生命周期作為獨(dú)立于微軟Windows平臺(tái)的安全方法論，同樣適用于Linux等開(kāi)源系統(tǒng)，可以滿足各 種平臺(tái)軟件開(kāi)發(fā)者的安全需求。在本次的培訓(xùn)中，Michael Howard將這一方法論的精髓與中國(guó)軟件安全領(lǐng)域的精英們一一分享。

  微軟中國(guó)戰(zhàn)略安全顧問(wèn)裔云天表示：“微軟一直將安全性置于所有軟件開(kāi)發(fā)的指導(dǎo)核心，并在2002年推出可信賴計(jì)算理念（Trustworthy Computing）。軟件安全開(kāi)發(fā)生命周期在幫助我們實(shí)現(xiàn)產(chǎn)品的安全性和可靠性方面取得了顯著的成效。同時(shí)，微軟還致力于與政府和業(yè)界密切合作，共同打 造一個(gè)更加安全的計(jì)算環(huán)境。作為中國(guó)可信賴的伙伴，我們?cè)敢獍堰@一軟件開(kāi)發(fā)工程方法與中國(guó)的同仁分享，增強(qiáng)其開(kāi)發(fā)更安全的軟件的能力，共同打造可信賴的計(jì) 算環(huán)境。”

  據(jù)4月10日微軟發(fā)布的第六期安全研究報(bào)告顯示，隨著軟件公司改善了操作系統(tǒng)的 安全性，目前第三方應(yīng)用軟件已成為惡意軟件的主要攻擊目標(biāo)，2008年下半年發(fā)現(xiàn)的漏洞中有90%涉及到應(yīng)用軟件。幫助軟件開(kāi)發(fā)者、政府機(jī)構(gòu)等全面的提升 應(yīng)用軟件的安全性成為微軟實(shí)現(xiàn)端對(duì)端可信計(jì)算環(huán)境美好愿景的重要組成部分。為此，微軟與政府和業(yè)界展開(kāi)了持續(xù)、廣泛的合作和技術(shù)交流，本次的培訓(xùn)就是眾多 的技術(shù)交流之一。

  中國(guó)信息安全測(cè)評(píng)中心常務(wù)副主任王貴駟說(shuō)，“中國(guó)信息安全測(cè)評(píng)中心自2003年在國(guó)家發(fā)改委指導(dǎo)下與微軟簽訂政府安全計(jì)劃源代碼協(xié)議以來(lái)，共同建立了相應(yīng) 的源代碼查看實(shí)驗(yàn)室，在信息安全方面做了很多有益的嘗試。測(cè)評(píng)中心這些年主要基于國(guó)際標(biāo)準(zhǔn)對(duì)信息技術(shù)產(chǎn)品、系統(tǒng)進(jìn)行測(cè)試評(píng)估，感到目前國(guó)內(nèi)軟件安全開(kāi)發(fā)水 平與國(guó)際還是有很大差距，迫切需要安全開(kāi)發(fā)方面的知識(shí)，如果這套方法能推廣到其他軟件開(kāi)發(fā)商，那么對(duì)整個(gè)軟件界都是一件很好的事情。

  此外中心自2002年起開(kāi)展了注冊(cè)信息安全專業(yè)人員培訓(xùn)（CISP），積累了較豐富的經(jīng)驗(yàn)和基礎(chǔ)，感覺(jué)在信息安全專業(yè)人員培訓(xùn)課程中十分有必要增加安全開(kāi) 發(fā)方法。從這個(gè)角度說(shuō)，SDL是一個(gè)很好的補(bǔ)充，對(duì)于國(guó)內(nèi)用戶來(lái)說(shuō)也是一件非常有意義的事。本次微軟軟件安全生命周期的培訓(xùn)令我們?cè)俅稳?面深入的了解了微 軟在軟件開(kāi)發(fā)安全方面的方法，這對(duì)我們更有效的控制安全風(fēng)險(xiǎn)和評(píng)估信息產(chǎn)品的安全性十分有幫助。”

  本次培訓(xùn)的學(xué)員代表海關(guān)信息中心王先生說(shuō)，“隨著網(wǎng)絡(luò)給 生活和商務(wù)帶來(lái)的極大便利，信息安全也遭受到了前所未有的嚴(yán)峻挑戰(zhàn)。我們亟需一套科學(xué)的軟件開(kāi)發(fā)流程來(lái)加強(qiáng)并保證開(kāi)發(fā)出的軟件的安全性。本次微軟安全開(kāi)發(fā) 方法論的培訓(xùn)對(duì)于國(guó)內(nèi)的軟件開(kāi)發(fā)者，以及企業(yè)CIO們都具有重要的啟發(fā)意義，讓我們明白安全的產(chǎn)品是設(shè)計(jì)出來(lái)的, 而且必須經(jīng)過(guò)嚴(yán)格的流程控制才可能交付一個(gè)更安全的產(chǎn)品。”