【51CTO.com快譯6月23日外電精選】讓我們先討論一些“轉(zhuǎn)變”這一現(xiàn)象。當(dāng)規(guī)模巨大、移動(dòng)遲緩的事物發(fā)生轉(zhuǎn)變時(shí)，人們總是很難注意到。但是，經(jīng)過(guò)十年對(duì)其軟件安全承諾的負(fù)面新聞，微軟似乎已經(jīng)痛定思痛。近幾年來(lái)，微軟獲得了一系列來(lái)自安全方面的贊譽(yù)，而這些表?yè)P(yáng)往往是來(lái)自那些過(guò)去批評(píng)微軟最厲害的人。許多世界上最有才華的安全專家也在紛紛要求他們最支持的軟件供應(yīng)商能像微軟那樣，對(duì)安全更加重視起來(lái)。（51CTO編者按：話雖如此，但最近一段時(shí)間的微軟安全漏洞還是層出不窮，看下今年六月份的安全報(bào)告便知，這個(gè)月的漏洞補(bǔ)丁可以單刻一張光盤(pán)。）

憎恨微軟的人依然恨它，但技術(shù)方面的媒體對(duì)微軟在安全方面的工作給予了很高的評(píng)價(jià)，微軟所做出的努力足以使自己成為計(jì)算機(jī)軟件安全的領(lǐng)導(dǎo)者。以下是一些媒體最近對(duì)微軟的評(píng)價(jià)：

“在很長(zhǎng)一段時(shí)間內(nèi)，微軟因?yàn)椴话踩漠a(chǎn)品破壞了自己的聲譽(yù)。但是，從一個(gè)產(chǎn)業(yè)的角度來(lái)看，我們應(yīng)該正確的看到微軟對(duì)安全已變得前所未有的重視。而微軟計(jì)劃向外界分享其安全開(kāi)發(fā)生命周期過(guò)程只是其中的一個(gè)例子而已，更重要的是鼓勵(lì)其他廠商能夠像微軟這樣重視軟件的安全?！薄猄ANS NewsBites

“微軟將成為安全軟件開(kāi)發(fā)的領(lǐng)導(dǎo)者。 ”——CNET

“五年前，當(dāng)我第一次開(kāi)始撰寫(xiě)有關(guān)信息安全的文章時(shí)，所有的作者只要在有“安全漏洞”字樣的標(biāo)題上提到微軟，就能使自己的文章有不錯(cuò)的點(diǎn)擊率。在2004年，微軟的可信計(jì)算倡議也已經(jīng)提出幾年了，但它仍然使得軟件公司的IT安全從業(yè)人員嗤之以鼻....這與今天的情況大不一樣了?！薄狢omputerworld

“Independent Security Evaluators公司的首席分析師Charlie Miller曾經(jīng)成功地利用過(guò)Windows、OS X和Linux操作系統(tǒng)的漏洞，他表示，‘Windows 7全新的內(nèi)存保護(hù)機(jī)制非常的聰明。我想微軟打算在這個(gè)方面保持領(lǐng)先。”——The Register

“SANS研究院的首席技術(shù)官Johannes Ullrich曾經(jīng)給開(kāi)發(fā)者教過(guò)安全編碼課程，...他認(rèn)為memcpy（）函數(shù)和其他安全風(fēng)險(xiǎn)較高的函數(shù)，如strcpy()和strcat()的命運(yùn)相同，在多年以來(lái)數(shù)不清的遭遇之后已經(jīng)被微軟徹底禁止使用了。我想知道什么時(shí)候‘Larry（甲骨文CEO）、Steve（蘋(píng)果CEO）和Linus（Linux之父）’會(huì)計(jì)劃在他們的產(chǎn)品中發(fā)布類似的安全規(guī)定。這個(gè)問(wèn)題值得一問(wèn)”——The Register

“蘋(píng)果公司需要在安全領(lǐng)域吸取微軟的教訓(xùn)，雖然這么說(shuō)并不討巧。但數(shù)年來(lái)微軟應(yīng)對(duì)來(lái)自病毒、惡意軟件等的威脅（一部分原因是由于微軟產(chǎn)品的用戶群更大，另一部分原因是不得不承認(rèn)的編程缺陷），使得機(jī)器編程一臺(tái)更好的機(jī)器，迅速而果斷地響應(yīng)威脅?！薄狢runchGear

你可以從中獲得什么？

這不僅僅是媒體的報(bào)道而已。每一個(gè)普通的安全機(jī)制和漏洞保護(hù)機(jī)制都表明，微軟所出品的軟件的安全性經(jīng)過(guò)數(shù)年的努力已經(jīng)大大提高了，特別是與它的主要競(jìng)爭(zhēng)對(duì)手相比的時(shí)候。被本公司雇員和外部研究人員發(fā)現(xiàn)的漏洞和幾年前相比，起數(shù)量已經(jīng)下降了一半以上。對(duì)于某些產(chǎn)品(如IIS和SQL 服務(wù)器等)而言，安全性能的改進(jìn)是非常驚人的，從以前每年暴幾十個(gè)漏洞利用程序，到5年才出現(xiàn)少數(shù)漏洞利用程序。

黑客們已經(jīng)從側(cè)重攻擊Windows漏洞，轉(zhuǎn)而把攻擊第三方應(yīng)用程序和對(duì)終端用戶使用社會(huì)工程學(xué)作為主要的攻擊途徑。當(dāng)周二補(bǔ)丁（Patch Tuesday）首次出現(xiàn)時(shí)，人們紛紛嘲笑微軟。但現(xiàn)在，它已成為其他許多易被攻擊軟件廠商發(fā)布升級(jí)的一種模式，不使用定期升級(jí)補(bǔ)丁的供應(yīng)商被顧客要求進(jìn)行升級(jí)。關(guān)于周二補(bǔ)丁日，有興趣的朋友可以看下“從周二補(bǔ)丁日和0Day談殺軟和IPS”這個(gè)文章。

當(dāng)然，微軟仍然遭受到了批評(píng)，想在安全方面改變大眾的對(duì)自己的負(fù)面印象還有很長(zhǎng)的路要走，但是也不能說(shuō)微軟沒(méi)有取得重大的進(jìn)展。雖然它的成功包括了許多因素：更好的補(bǔ)丁、基于主機(jī)的防火墻，并負(fù)責(zé)任的公布很多安全隱患，但成功的主要因素來(lái)自于安全開(kāi)發(fā)生命周期（SDL）。

越來(lái)越多的軟件開(kāi)發(fā)者們認(rèn)為應(yīng)該效仿微軟的編程安全模式，這甚至包括那些聲稱自己憎恨微軟的人。媒體的報(bào)道過(guò)去了也就過(guò)去了，但是這并不會(huì)消去已經(jīng)對(duì)潛在客戶產(chǎn)生的影響。

文章看到這里，你可能會(huì)說(shuō)：這篇專欄文章除了包含了給我的雇主（指微軟）的榮譽(yù)之外，是不是得有個(gè)中心思想。是的，確實(shí)應(yīng)該如此。

首先，SDL的成功再也不能被忽視了。在微軟從一個(gè)安全的笑柄到一個(gè)安全的領(lǐng)導(dǎo)者的轉(zhuǎn)變過(guò)程中，SDL發(fā)揮了巨大作用。這個(gè)轉(zhuǎn)變是巨大的，它價(jià)值數(shù)十億美元。

其次，它得到了從首席執(zhí)行官到公司下層的鄭重承諾。如果沒(méi)有來(lái)自管理層長(zhǎng)期的承諾，SDL的成功是很難成功的。

第三，即使得到了所有的高層管理人員的最高承諾，而且重新培訓(xùn)的工作人員，并且整個(gè)公司也特別的重視，SDL的完成依然花了大約五年的時(shí)間。雖然讓所有的程序員轉(zhuǎn)變成安全程序員可能只要花幾個(gè)星期，但是要想轉(zhuǎn)變一個(gè)公司的文化，花費(fèi)的時(shí)間就不止幾個(gè)星期了，這需要通過(guò)多年的對(duì)薄弱環(huán)節(jié)的研究，還要能提供新的工具和解決方案，這樣才能最終改變根深蒂固的開(kāi)發(fā)政策和過(guò)程。他們采取了而且還將繼續(xù)采取內(nèi)部討論的方式，讓每個(gè)人在討論中都說(shuō)出他們對(duì)某些決定的感受。

但最令人激動(dòng)的是，微軟把引起自身重大轉(zhuǎn)變的大多數(shù)工具和數(shù)千頁(yè)信息全部免費(fèi)的提供給任何人。你和你的公司也可以通過(guò)利用這些東西，從而開(kāi)發(fā)出出更多的安全軟件。

你不必重新發(fā)明你自己的安全密碼算法和密鑰。微軟已經(jīng)在成熟的SDL模型中走了很長(zhǎng)一段路，你可以從它總結(jié)出來(lái)的發(fā)展策略、標(biāo)準(zhǔn)和開(kāi)發(fā)進(jìn)程中受益很多。微軟公司邀請(qǐng)我們所有的人加入到這個(gè)項(xiàng)目中，而不是把這些成就據(jù)為己有，當(dāng)作一個(gè)有競(jìng)爭(zhēng)性的賣(mài)點(diǎn)?？偠灾?，一個(gè)強(qiáng)大的、更安全的計(jì)算機(jī)系統(tǒng)將使每個(gè)人都受益。51CTO編者注：關(guān)于SDL，可以看下“應(yīng)用安全與微軟SDL-IT流程”一文。

如果你希望SDL能給你所在的公司帶來(lái)益處，那么就從瀏覽微軟的SDL培訓(xùn)和資源網(wǎng)頁(yè)和Michael Howard的MSDN博客開(kāi)始吧。我敢打賭，你不能從其他地方找到像SDL這么多免費(fèi)的、能夠提升軟件安全能力的資源。

讓競(jìng)爭(zhēng)對(duì)手為你打廣告是一回事，試著為所有人改進(jìn)安全性能則是另一回事。

【編輯推薦】

1. 微軟發(fā)布2009年6月份的安全公告(含補(bǔ)丁下載)
2. 基于云計(jì)算的微軟免費(fèi)殺毒軟件Morro曝光
3. 微軟免費(fèi)殺毒軟件Morro開(kāi)始測(cè)試 征求定名

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容。】

原文：Pigs fly! Microsoft leads in security  作者：Roger Grimes