微軟近日稱其代碼比賽門鐵克更安全。據(jù)微軟安全規(guī)劃部的一位高級安全規(guī)劃經(jīng)理Michael Howard介紹說，二者的區(qū)別就在于軟件的安全開發(fā)周期（SDL）。為了加強產(chǎn)品的安全性，微軟對其產(chǎn)品開發(fā)部署采用一種復(fù)合的方法運用其軟件安全開發(fā)周期進行產(chǎn)品開發(fā)。

這種軟件安全開發(fā)周期并不是一種空想的理論，而是切實可行的開發(fā)構(gòu)想。它不僅可以大大減少軟件存在的安全漏洞的數(shù)量，而且可以降低軟件總體上的不安全性。

例如，Windows Vista系統(tǒng)就是嚴(yán)格按照SDL進行開發(fā)的，它是微軟Windows操作平臺上最安全的操作系統(tǒng)。

Howard還引用了賽門鐵克郵件產(chǎn)品緩沖區(qū)溢出的漏洞來證實自己的觀點。他說，漏洞并非存在于賽門鐵克的產(chǎn)品代碼中，但是用戶仍然會受到攻擊。這要歸結(jié)于使用了第三方開發(fā)的文件分析器。

也許你知道文件分析的漏洞非常普通，但是幸虧我們引進了SDL的fuzz安全測試，這使我們的產(chǎn)品大大減少一大批與文件分列相關(guān)的漏洞數(shù)量。正如我所提到的，漏洞并非存在于賽門鐵克的代碼中，而是與其他公司提供的DLL文件有關(guān)。

另外Howard高度認同SDL能最大限度地減少文件分列漏洞出現(xiàn)的幾率。他舉例子說，比如.WPD文件分列漏洞通過fuzz安全測試就能很容易地及時檢測到。而且其他危險的API接口也能通過SDL檢測到，其他漏洞如.SAM文件分析漏洞及.DOC文件分析漏洞，所有賽門鐵克的這些漏洞在我們的產(chǎn)品中都將不存在。

標(biāo)簽： 安全 代碼 漏洞

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。