Aujourd’hui, avec la diffusion de deux nouveaux outils gratuits, l’analyseur binaire « BinScope Binary Analyzer » et l’outil de tests aléatoires « MiniFuzz File Fuzzer », les développeurs et les testeurs responsables de la sécurité de leurs produits ainsi que les maitrises d’œuvre qui mettent en place des solutions logicielles au sein des entreprises, ont désormais accès à des outils spécifiques qui permettront de réduire la surface d’attaque de leurs logiciels par rapport aux attaques les plus courantes.

Ces outils, disponibles gratuitement en téléchargement (Centre des outils SDL : http://msdn.microsoft.com/en-us/security/cc421514.aspx) viennent compléter la gamme existante d’outils SDL et offrent davantage de possibilités lors de l’étape des tests et des vérifications, au sein du processus SDL. Les développeurs et les testeurs auront ainsi la possibilité de mieux identifier les risques de sécurité dans leur code avant de diffuser leurs applications ; les maitrises d’œuvre pourront mieux contrôler la sécurité de leurs solutions logicielles avant leur mise en production.

Le MiniFuzz File Fuzzer permet de réaliser facilement les tests aléatoires qui sont très vivement recommandés lors de la phase de test et de vérification du processus SDL. Il aidera les entreprises de toutes tailles à passer cette étape avec succès. Le BinScope Binary Analyzer effectue une analyse complète du code dans sa forme binaire afin de vérifier que tous les contrôles, les protections et des indicateurs de sécurité recommandés par SDL sont bien en place afin que l’application ne soit pas vulnérable aux erreurs de codage les plus courantes dans le domaine de la sécurité.

L’outil MiniFuzz File Fuzzer représente une solution simple d’emploi et personnalisable pour rechercher les comportements inattendus d’une application. Il automatise les tests de sécurité qui ont pour but d’envoyer au code de nombreux flux de données différents ; si l’application cesse de fonctionner à un instant donné, l’outil identifie les données ayant provoqué l’incident et permet ainsi d’analyser les risques potentiels de sécurité dans l’application.

Il est important de noter que l’outil BinScope Binary Analyzer est d’un usage obligatoire pour l’ensemble des développeurs et testeurs de Microsoft au sein de la phase de vérification, lors du développement des produits Microsoft.

Pour répondre aux demandes des clients, Microsoft complète ces outils par la publication d’un nouveau document SDL, « Manual Integration of the SDL Process Template » (http://msdn.microsoft.com/en-us/teamsystem/default.aspx). Ce document guide les utilisateurs de Visual Studio Team System (VSTS) via un processus par étapes pour intégrer manuellement les principaux éléments du modèle SDL dans leurs projets VSTS existants. En publiant ce document, Microsoft permet aux développeurs d’intégrer plus facilement le modèle de processus SDL dans leurs projets, ce qui devrait faciliter l’adoption de SDL.

A propos de la méthodologie SDL

Depuis 2004, Microsoft a formalisé les meilleures pratiques de développement sécurisé de ses centres de développement au sein d’une méthodologie appelée SDL – Security Development LifeCycle – partagée gratuitement depuis 2008 avec l’ensemble de la communauté des développeurs. Microsoft a notamment réalisé un guide (Microsoft SDL Process Guidance), un modèle d’optimisation SDL (Microsoft SDL Optimization Model), mis en place un réseau de fournisseurs de services certifiés via le SDL Pro Network et mis à la disposition de tous un outil de modélisation des menaces (Microsoft SDL Threat Modeling Tool). Tous ces éléments, auxquels se sont ajoutés d’autres versions de programmes, d’outils, de conseils et de technologies SDL, ont permis aux développeurs et aux partenaires de mieux intégrer directement la sécurité et la confidentialité dans leurs logiciels, et d’apporter à leurs utilisateurs une informatique digne de confiance.

Microsoft incite les développeurs et les testeurs à télécharger et à évaluer l’ensemble des conseils et des outils disponibles et à intégrer les recommandations SDL dans le cycle de développement de leurs applications. Microsoft incite aussi les maitrises d’ouvrage à exiger de leurs fournisseurs de solutions logicielles et de leurs intégrateurs la mise en place d’une méthodologie de développement de code sécurisée telle que SDL. En effet, mettre en place une méthodologie bien gérée de sécurisation des logiciels représente un bon investissement et aide à réduire les coûts récurrents de maintenance liée à la sécurité, tout en apportant aux clients une sécurité renforcée (référence : « Return-on-Investment Evaluation of Structure Security » - ISec Partners). À mesure que les menaces évoluent, Microsoft continuera donc d’investir dans les mécanismes fondamentaux de la sécurité et de la confidentialité en développant des outils et des processus de développement innovants et en travaillant en étroite collaboration avec des partenaires afin de construire des logiciels mieux sécurisés pour améliorer la protection des utilisateurs.