Det kan betale sig at tænke på sikkerheden, allerede når softwaren bliver udviklet, har Microsoft erfaret.
Efter selskabet har indført nye retningslinjer for softwareudviklingen, er antallet af sikkerhedshuller blevet forholdsmæssigt reduceret.
- Under den gamle metode skrev du koden og tjekkede den bagefter for fejl. Men det duer ikke længere, siger chef for Microsofts sikkerhedsprogram, Michael Howard, til magasinet Eweek.
Ny strategi
Som svar på den kritik, Microsoft er blevet udsat for på grund af sikkerhedshuller i selskabets udbredte software, formulerede Microsoft Security Development Lifecycle.
Det er en udviklingsstrategi, som selskabet indførte i forbindelse med sin opstramning internt i forbindelse med sin kampagne for trustworthy computing, pålidelig it.
Strategien indebærer, at udviklerne nu skal tænke sikkerhed med i alle skridt af udviklingen af ny software.
- I den virkelige verden kan software ikke gøres fuldstændig sikkert, så udviklerne bør antage, at der vil være sikkerhedsfejl. For at minimere skaden fra angreb mod fejlene, bør softwaren i sine standardindstillinger fremme sikkerheden, siger Michael Howard til Eweek.
Siden Security Development Lifecycle blev indført har det ifølge en foreløbig evaluering givet bonus for Microsoft.
Halvt så mange fejl
Windows Server 2003 var blandt de første programmer, der blev udviklet under den nye strategi. Til forgængeren Windows 2000 udsendte Microsoft 62 sikkerhedsadvarsler, før strategien blev taget i brug. Til Windows Server 2003 har Microsoft udsendt 24.
Det tager softwaregiganten som et tegn på, at noget nu bliver gjort rigtigt. Men det betyder ikke, at softwaren bliver fejlfri fra den ene dag til den anden.
- Softwareudviklere er blot mennesker. Der vil ske fejl, som sniger sig med i koden. Men med Security Development Lifecycle kan vi systematisk mindske antallet af fejl, siger Michael Howard til Eweek.
Udover Windows Server 2003 er SQL Server 2000 Service Pack 3 og Exchange Server 2000 Service Pack 3 blandt de første programmer fra Microsoft, som er udviklet under den nye udviklingsstrategi.