Llegamos a ustedes gracias a:



Noticias

Microsoft ofrece herramientas para un desarrollo seguro de aplicaciones

[16/09/2009] Microsoft está presentando dos herramientas de evaluación para ayudar a los programadores en Windows a construir mejor la seguridad en sus aplicaciones C y C++, pero un analista de la industria se mostró desdeñoso sobre la utilidad de las herramientas para los desarrolladores empresariales.

Ofrecidas en forma gratuita, las herramientas permiten la implementación del proceso SDL (Security Development Lifecycle) de Microsoft, para introducir provisiones de seguridad y privacidad en el ciclo de vida del desarrollo, como una forma opuesta a las evaluaciones pre y post desarrollo de una aplicación.
Una de las herramientas, BinScope Binary Analyzer, analiza el código binario para validar la adherencia a los requerimientos SDL para los compiladores y enlazadores. También verifica el uso de montajes fuertes y herramientas de construcción actualizadas. Esencialmente, lo que hace es revisar toda una gama de requerimientos SDL como GS flag, que se usan para evitar los buffer overflows, señaló David Ladd, gerente principal de programas de seguridad del equipo del ciclo de vida de desarrollo de la seguridad de Microsoft.
Los buffer overflows permiten a los hackers tomar el control de una aplicación, indicó Ladd. En la medida en que puedas evitar esto en el momento de la compilación, eso es algo bueno desde el punto de vista de la seguridad, señaló. La herramienta requiere archivos de símbolos, proporcionando seguridad contra el posible uso por parte de los hackers para analizar el software en la web en busca de debilidades.
La segunda herramienta, Microsoft MiniFuzz File Fuzzer, implemente la técnica de evaluación fuzz. Los evaluadores revisan el comportamiento de las aplicaciones que ha sido corrompida en forma deliberada. Se aplican evaluaciones secundarias para llevar el código a través de diferentes patrones de flujos e identificar si las caídas resultantes deberían ser investigadas como riesgos de seguridad potenciales en las aplicaciones. Si encuentran una falla de archivo y tiene ramificaciones de seguridad, quieres salir y arreglar el problema, señaló Ladd.
Sin embargo, un analista dudó que los desarrolladores empresariales vayan a tener mucho uso de las herramientas. Estos desarrolladores con mayor probabilidad usan las tecnologías de código administradas Java y .Net con Visual Basic.Net y C# en lugar de C o C++, indicó Michael Gualtieri, analista senior de Forrester Research. Los desarrolladores corporativos generalmente tampoco desarrollan aplicaciones para archivos abiertos, que es lo que la herramienta de evaluación fuzz persigue, añadió. No hay mucho para las empresas en estas herramientas, indicó Gualtieri.
Estas herramientas son más útiles para sistemas y proveedores de software que para las empresas que compran TI, señaló. Al lanzar las herramientas, Microsoft continúa demostrando su compromiso en hacer del proceso SDL algo real para los desarrolladores, indicó Gualtieri.
Un representante de Microsoft señaló que muchos de los puntos presentados en BinScope Binary Analyzer se encuentran inherentemente incorporados en los códigos .NET. Microsoft anteriormente lanzó una herramienta de administración de amenazas y una plantilla de administración de procesos basadas en SDL.
El miércoles, Microsoft también presentó un paper titulado Integración Manual de la Plantilla de Procesos SDL, para guiar a los usuarios de Microsoft Visual Studio Team System a través de un proceso manual para incorporar elementos de la plantilla del proceso SDL en los proyectos de Team System.
Paul Krill, InfoWorld (US)