供销合作社的完整政策就本着安全、隐秘尊崇、

作为软件产业生态的重要组成部分,微软公司在提供操作系统和开发工具的同时,也在关注软件、系统和应用的安全性。2013年5月14日,在旧金山召开的SDC,微软公司可信赖计算部门Tim Rains向中关村在线记者表达了上述看法。

图片 1

微软公司可信赖计算部门Tim Rains

继在美国华盛顿特区召开的第一届安全发展大会之后,在旧金山这是微软第二次赞助和组织安全发展大会。Tim Rains表示在这个会议上能与产业分享关于安全、隐私保护等方面的话题是非常有价值的。微软已经在可信赖计算领域投入了将近10年的时间,在此期间与很多合作伙伴一起积累了有价值的经验和心得,除了通过自身网站的渠道向业界开放这些知识,也希望能通过这样的会议进一步推动软件安全的发展。

微软是软件开发的领导企业,数十年的软件开发历史和庞大的开发者客户对可信赖开发积累了哪些经验?Tim Rains说,经验是最好的老师。回顾可信赖计算的历史,从2001年的蠕虫病毒事件,到后续的Blaster、SQLSlammer等各种攻击,我们认识到安全是需要在软件开发过程中就全面嵌入的理念。在服务客户的过程中,我们也学到了针对安全问题的及时响应也是客户服务的重要步骤。从比尔盖茨发出可信赖计算备忘录之后,公司的整体策略就针对安全、隐私保护、可信赖计算全面倾斜,我们的信念是计算应当像电力应用一样可靠和简单,用户只需要插入电源插头就不必操心其他事情。

落实到具体行动上,微软将多年积累的安全开发经验总结为SDL(Security Development Lifecycle,安全软件开发周期),不但在内部全面实践,而且向客户以及产业全面分享,希望这套行之有效的方法能帮助产业全面提升软件和系统的安全性。

对大型开发者来说,安全是重要问题。但是小型项目的小团队,可能首要任务还是完成开发,如何促使他们也对安全增加投入呢?在过去的几周Tim Rains刚刚拜访了世界各地的开发者,回到美国。他与中国、印度、日本等地的开发者沟通时都遇到了类似的问题。他表示,微软在几个方面能帮助这些开发者。首先微软在网站上提供了免费的安全资料和相关资源,开发者不需要额外花费就可以获得。另外,最近微软的大力推动的ISO27035标准也能够帮助开发者实施软件开发过程中的安全性,借助通用的国际标准,在与客户沟通时开发者还能更简单直接地证明自己的工作是足够安全的。

实际上,即使在美国的开发者,安全也是很大的挑战。在大会其间记者与多个参会者沟通都有类似的反馈:开发者在努力完成软件特性和功能,除了特定领域如医疗系统会把安全作为重要特性,其他领域的软件也在纠结于速度、成本、功能和安全的平衡中。安全大会踊跃参加的开发者说明了安全已经是软件开发者关注的重要话题。

在新兴的移动平台上,应用程序的安全性已经开始成为重要问题。Android系统应用商店前一段时间的安全漏洞引起了广泛关注,微软Windows Store应用商店的安全性是如何保证的呢?Tim Rains表示,微软前几周刚刚发布的安全报告(Security Intelligence Reort)已经认识到,在移动平台和应用商店中木马、蠕虫等问题。微软的解决方案是对应用商店中的产品采取认证和审阅双管齐下的方式来避免安全问题。通过对应用软件的的认证,保证开发者提交的应用程序行为符合其公开声明的状态,没有隐藏的功能甚至恶意行为。同时微软还会对应用软件的内容进行审阅,保证没有不适当的内容出现,比如儿童可以使用的软件不会传递成人内容。

微软已经积累了十多年的安全开发经验,在保证自身产品安全可靠的同时,微软也清醒地认识到作为开发工具和系统平台提供者,帮助产业创造一个更安全的生态系统是双赢的局面。

本文由伟德国际1946备用网址|首页发布于中心概况,转载请注明出处:供销合作社的完整政策就本着安全、隐秘尊崇、

相关阅读