【51CTO.com 1月17日外電頭條】我至今還清晰記得微軟在2001至2002年期間的安全狀態(tài)，一切仿佛就發(fā)生在昨天。也許不會(huì)再有另一段時(shí)光能像這兩年一般在我腦海中留下如此深刻的印象。2001年并不盡如人意，但2002年則有了大幅度改善?？梢哉f(shuō)正是前一年的困境才造就了接下來(lái)的飛躍！因此，讓我們共同追憶往昔……

[[56194]]在1999年底，我們幾位同事共同建立了一個(gè)規(guī)模有限的安全團(tuán)隊(duì)（著眼點(diǎn)為處理'威脅'而非開(kāi)發(fā)'功能'），旨在幫助整個(gè)公司提高軟件安全意識(shí)。在很長(zhǎng)一段時(shí)間中我們連個(gè)像樣的名頭都沒(méi)有，直到有一天當(dāng)時(shí)的Windows系統(tǒng)產(chǎn)品副總裁Dave Thompson放出話(huà)來(lái)，將團(tuán)隊(duì)命名為Windows自發(fā)性安全小組（簡(jiǎn)稱(chēng)SWI）。那一陣子我們的著眼點(diǎn)主要在于深入檢查Windows代碼并搜尋安全漏洞，不過(guò)以這么微薄的力量應(yīng)對(duì)Windows那般龐大的系統(tǒng)，工作成果實(shí)在是乏善可陳。因此，我們決定將重心轉(zhuǎn)向"安全漏洞清除"模式，也就是每天早上為Windows部門(mén)的一個(gè)小型開(kāi)發(fā)團(tuán)隊(duì)（例如網(wǎng)絡(luò)、終端服務(wù)、IIS、IE等）提供安全教育；在剩下的時(shí)間里我們則與該工程小組一起尋找該范疇內(nèi)可能存在的漏洞。這種方式相當(dāng)有趣，我們也確實(shí)揪出了不少問(wèn)題，但其中最重要的意義是將安全意識(shí)逐漸滲透到企業(yè)的每一個(gè)角度。到底找出多少漏洞其實(shí)并不打緊--關(guān)鍵之處在于喚起人家對(duì)安全問(wèn)題的重視程度并減少未來(lái)出現(xiàn)疏漏的可能性。

盡管比起初始狀態(tài)，SWI在漏洞清除方面已經(jīng)頗有成效，但規(guī)模上的固有問(wèn)題仍然使得工作進(jìn)展舉步維艱，而且無(wú)法徹底擺脫勞動(dòng)密集型這一根本屬性。不過(guò)安全漏洞清除工作在各種困擾之下仍然維持了十八個(gè)月之久。

2001年對(duì)于微軟的安全事業(yè)來(lái)說(shuō)算得上是一次考驗(yàn)，而其中的主要原因則是CodeRed與Nimda。這兩種蠕蟲(chóng)病毒對(duì)Internet Information Server 4.0與5.0兩個(gè)版本產(chǎn)生了極其惡劣的影響。CodeRed利用的是默認(rèn)存在于IIS4與IIS5中的某行代碼錯(cuò)誤，現(xiàn)在回想起來(lái)，代碼實(shí)在不應(yīng)該以默認(rèn)形式進(jìn)行安裝。Nimda則相對(duì)更為復(fù)雜，因?yàn)樗谖：ο到y(tǒng)時(shí)利用到了不只一項(xiàng)漏洞。

雖然沒(méi)能阻止這一切的發(fā)生，但David LeBlanc和我還是在此期間寫(xiě)出第一版《編寫(xiě)代碼安全》一書(shū)。我們撰寫(xiě)此書(shū)的目的是為了給大家一些有益的參考，以免被同樣的安全問(wèn)題一次又一次絆倒。但我們真的沒(méi)想到編寫(xiě)安全代碼在日后會(huì)成為如此暢銷(xiāo)的書(shū)籍。

隨著《編寫(xiě)安全代碼》一書(shū)完稿付梓，2001年也漸漸接近尾聲。這時(shí)我收到一封來(lái)自L(fǎng)oren Kohnfelder這位.NET框架安全領(lǐng)域頂尖人物的電子郵件。Loren最杰出的貢獻(xiàn)是定義了如今人們常常提到的公共密鑰基礎(chǔ)設(shè)施（簡(jiǎn)稱(chēng)PKI）。大家不妨閱讀他于1978年就這一專(zhuān)題發(fā)表的論文，同時(shí)Loren也是STRIDE威脅模型的主要推手之一。

Loren告訴我，.NET通用語(yǔ)言運(yùn)行（簡(jiǎn)稱(chēng)CLR）團(tuán)隊(duì)在該項(xiàng)目的最終開(kāi)發(fā)階段發(fā)現(xiàn)了一些安全漏洞，這讓他頗為憂(yōu)心。我們決定組織一個(gè)規(guī)模更大的漏洞清除小組；但這一次我們希望整個(gè)小組無(wú)論存在時(shí)間有多長(zhǎng)，至少應(yīng)該在組建起來(lái)之后能及時(shí)發(fā)揮預(yù)期作用。所謂"預(yù)期作用"是指令產(chǎn)品的安全漏洞數(shù)量盡可能趨近于零。這就是日后小有名氣的".NET安全檢查站"，我們甚至根據(jù)團(tuán)隊(duì)啟動(dòng)的日期定做了紀(jì)念T恤。然而可能是為了先抑后揚(yáng)吧，小組成立的當(dāng)天來(lái)自西北太平洋的巨大暴風(fēng)雪席卷各地，而微軟雷蒙德園區(qū)也被迫暫時(shí)關(guān)閉，因此我們的"檢查站"也只好延期啟動(dòng)。

"檢查站"獲得了巨大的成功，這要多虧了Brian Harry與他的團(tuán)隊(duì)，他們?cè)诠芾矸矫娴妮o助讓我們受益匪淺。我們對(duì).NET工程團(tuán)隊(duì)實(shí)施安全再教育、發(fā)現(xiàn)并修復(fù)漏洞，但對(duì)我個(gè)人而言，最重要的是我們推廣了縮小攻擊面這一概念（即限制暴露在不受信用戶(hù)面前的代碼數(shù)量）。正是從這里衍生出了允許特定受信訪(fǎng)客屬性（簡(jiǎn)稱(chēng)APTCA），另外使ASP.NET運(yùn)行在低權(quán)限環(huán)境下的想法也由此而來(lái)。

2001年12月《編寫(xiě)安全代碼》一書(shū)問(wèn)世，而Doug Bayer和我則與比爾·蓋茨在一次無(wú)比冗長(zhǎng)的會(huì)議上詳細(xì)討論安全漏洞問(wèn)題。顯然他對(duì)于2001年到處肆虐的蠕蟲(chóng)病毒非常關(guān)注，并希望了解更多信息。在會(huì)議結(jié)束時(shí)，我送給比爾一本《編寫(xiě)安全代碼》。

2001年12月末，.NET檢查站小組的歷史使命也宣告結(jié)束。在此期間，我們了解到如此將隊(duì)伍凝聚起來(lái)，共同解決通用型安全案例。但這還不夠，未來(lái)的路上仍有更多工作等待著我們！

鑒于在.NET方面的成功，我們決定將工作重心放在Windows .NET Server上（當(dāng)時(shí)該項(xiàng)目就叫這個(gè)名字）。根據(jù).NET模型，我們于次年二月開(kāi)始行動(dòng)，并仍然貫徹及時(shí)發(fā)揮作用這一理念。與Windows各項(xiàng)目小組的合作基本于三月末結(jié)束。

這就是名為"Windows安全推動(dòng)計(jì)劃"的項(xiàng)目。

正如當(dāng)下大家所熟悉的，比爾在2002年1月向全公司推出了著名的可信賴(lài)計(jì)算（簡(jiǎn)稱(chēng)TwC）備忘錄，當(dāng)時(shí)我們正在為Windows系統(tǒng)籌備安全工作。他很少發(fā)表備忘錄，因此這也標(biāo)志著企業(yè)內(nèi)部將開(kāi)展一次大規(guī)模行動(dòng)。

在推動(dòng)計(jì)劃中，我們將教育流程分為三塊：我負(fù)責(zé)所有Windows開(kāi)發(fā)人員、Jason Garms負(fù)責(zé)全部程序主管及架構(gòu)師，而Chris Walker則培訓(xùn)各位測(cè)試人員。Steve Lipner與Glenn Pittaway引導(dǎo)每日流程管理，并不斷與高層管理人員彼此溝通。

我們借鑒自安全漏洞清除項(xiàng)目的一大方案是讓某位來(lái)自管理層的資深人士出席培訓(xùn)活動(dòng)。 例如在某次培訓(xùn)的開(kāi)幕會(huì)議上，我就請(qǐng)到了Windows基礎(chǔ)設(shè)施（包括內(nèi)核到設(shè)備等）部門(mén)副總裁Rob Short。Rob身形高大瘦削，帶著濃濃的愛(ài)爾蘭口音，他當(dāng)時(shí)的發(fā)言至今仍回響在我的腦海中。他指出，"不要把安全事務(wù)當(dāng)成什么特殊問(wèn)題，這只是我們完成工作的一項(xiàng)常規(guī)組成部分。"每當(dāng)我與微軟內(nèi)部的新任工程師或是現(xiàn)場(chǎng)的客戶(hù)討論安全話(huà)題時(shí)，總會(huì)引用Rob的這句名言，其簡(jiǎn)潔精要的總結(jié)性令人難忘。

Windows安全推動(dòng)計(jì)劃作為元祖項(xiàng)目，衍生出了SQL Server安全推動(dòng)計(jì)劃、Exchange安全推動(dòng)計(jì)劃乃至Office安全推動(dòng)計(jì)劃等諸多產(chǎn)物。盡管緩慢，但這一系列項(xiàng)目確確實(shí)實(shí)改變了企業(yè)的固有觀念。工程師與經(jīng)理已經(jīng)逐漸將安全融入日常工作當(dāng)中。

貫穿所有推動(dòng)計(jì)劃的關(guān)鍵因素在于降低產(chǎn)品的默認(rèn)攻擊面。這也是Windows Server 2003（請(qǐng)注意名稱(chēng)的變動(dòng)）中采用了一款功能精簡(jiǎn)過(guò)的瀏覽器且沒(méi)有安裝默認(rèn)Web服務(wù)器的原因。

推動(dòng)計(jì)劃中不太為人所熟知的情況是，我們針對(duì)各種技術(shù)自身存在的安全隱患制作了大量書(shū)面文檔。其中大部分都?xì)w入了第二版《編寫(xiě)安全代碼》一書(shū)；這使得此書(shū)由過(guò)去的500頁(yè)增至800多頁(yè)，大部分新增內(nèi)容都源自我們?cè)?002年的調(diào)整工作中獲得的心得體會(huì)與經(jīng)驗(yàn)教訓(xùn)。就拿關(guān)于國(guó)際化與全球化安全隱患這一章來(lái)說(shuō)，書(shū)中的相關(guān)文字主要來(lái)自Windows全球化小組撰寫(xiě)的白皮書(shū)。該小組不僅認(rèn)真執(zhí)行了整個(gè)安全推動(dòng)流程，同時(shí)從自身的獨(dú)特視角出發(fā)，為我們帶來(lái)不少頗具新鮮感的安全審視思路。

推動(dòng)計(jì)劃本身只能算是一種起步，真正的改變?cè)谖覀儗?shí)行安全開(kāi)發(fā)周期（簡(jiǎn)稱(chēng)SDL）時(shí)方露端倪。我曾強(qiáng)調(diào)過(guò)多次，先埋頭搞軟件開(kāi)發(fā)再一次性進(jìn)行安全推動(dòng)的想法根本不可行。坦率地講，在項(xiàng)目接近尾聲時(shí)再關(guān)注安全已經(jīng)于事無(wú)補(bǔ)了。我們需要讓安全成為"生產(chǎn)流程的一部分"，這也正是SDL誕生的原因。

不過(guò)事情也很難始終一帆風(fēng)順。2003年我們的SQL Server遭遇了蠕蟲(chóng)王，Windows也被沖擊波搞得焦頭爛額。由于沖擊波有可能造成計(jì)算機(jī)藍(lán)屏，因此產(chǎn)品支持部門(mén)收到的電話(huà)反饋迅速增多，連我們這個(gè)團(tuán)隊(duì)也不得不抽調(diào)部分人手處理電話(huà)接聽(tīng)工作。Windows shell團(tuán)隊(duì)的開(kāi)發(fā)主管Raymond Chen當(dāng)時(shí)就坐在我旁邊，并在我的注視下寫(xiě)出這篇博文：

沖擊波的出現(xiàn)引發(fā)了一項(xiàng)持久且高強(qiáng)度的安全項(xiàng)目，這就是眾所周知的"Springboard"，由Rebecca Norlander、Matt Thomlinson以及John Lambert共同主持。而努力的成果就是Windows XP SP2，我們不僅發(fā)現(xiàn)并修復(fù)了大量安全漏洞，同時(shí)為其IE瀏覽器、DCOM以及RPC添加了許多關(guān)鍵性防御機(jī)制。我們還啟用并強(qiáng)化了Windows防火墻，并新增了數(shù)據(jù)執(zhí)行保護(hù)（簡(jiǎn)稱(chēng)DEP）系統(tǒng)；同時(shí)我們將這套體系與安裝流程綁定，使得用戶(hù)能更方便地設(shè)定自動(dòng)更新功能。

微軟在過(guò)去的十年中經(jīng)歷了經(jīng)歷了無(wú)數(shù)考驗(yàn)與坎坷，而令人自豪的是我一直與這家企業(yè)并肩同行。如今情況有所不同，SDL被視為業(yè)界領(lǐng)先的安全機(jī)制，并為微軟之外的許多軟件開(kāi)發(fā)人員所使用。我個(gè)人的工作角色也已經(jīng)發(fā)生變化：我現(xiàn)在與微軟北美網(wǎng)絡(luò)安全團(tuán)隊(duì)協(xié)作，幫助合作伙伴與客戶(hù)部署SDL方案。因?yàn)榇蠹叶家呀?jīng)清醒地意識(shí)到在安全領(lǐng)域提高關(guān)注度的重要性。

過(guò)去的十年發(fā)展之快令人驚愕，但我們?nèi)匀辉谂o跟乃至引領(lǐng)時(shí)代的腳步。微軟公司中那些才能卓著的員工在自己、合作伙伴以及客戶(hù)的產(chǎn)品中傾注了大量心力，盡管人們可能并不了解，但這些努力為我們帶來(lái)的安全保障卻始終來(lái)之不易且彌足珍貴。

原文鏈接：http://www.zdnet.com/blog/security/10-years-since-the-bill-gates-security-memo-a-personal-journey/10083

 【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. 有黑客精神的IT老兵與創(chuàng)業(yè)團(tuán)隊(duì)中堅(jiān)力量——湯城
2. 有黑客精神的IT老兵與創(chuàng)業(yè)團(tuán)隊(duì)中堅(jiān)力量——楊正權(quán)
3. 有黑客精神的IT老兵與創(chuàng)業(yè)團(tuán)隊(duì)中堅(jiān)力量——馬杰
4. 企業(yè)需要安全人看微軟對(duì)員工的十個(gè)安全原則
5. 微軟緊急更新為解決哈希碰撞攻擊