Microsoft Security Development Lifecycle

Search


Historique de SDL

Les concepts à la base du Cycle de développement sécurisé Microsoft (SDL) sont issus de la directive Informatique de confiance de janvier 2002. À cette époque, de nombreux groupes de développement chez Microsoft étudiaient comment « forcer la sécurité » afin d'améliorer la sécurité du code existant.

Devenu une stratégie obligatoire en 2004, Microsoft SDL a été conçu comme une partie essentielle du processus de développement des logiciels Microsoft. Le développement, l'implémentation et les améliorations constantes de SDL représentent un investissement stratégique pour Microsoft, et une évolution dans la façon de concevoir, développer et tester les logiciels.

Microsoft SDL est désormais mature et constitue une méthodologie bien définie. L'importance croissante des logiciels dans le monde souligne le besoin pour Microsoft et pour l'industrie de l'informatique à continuer ses efforts dans le développement de la sécurité. Pour cela, Microsoft s'est engagé en 2005 à développer un environnement informatique plus sûr et digne de confiance, ce qui a conduit Microsoft à rendre public le guide, les outils et la formation Microsoft SDL.

Évolution de SDL
2002 - 2003
2004
2005 - 2007
Aujourd'hui
  • Microsoft optimise le processus SDL par des analyses, l'automatisation et les avis des développeurs.
  • Microsoft diffuse SDL dans la communauté des développeurs de logiciels :
  • Guide du processus SDL
  • Modèle d'optimisation SDL
  • SDL Developer Starter Kit
  • Outil de modélisation des menaces SDL
  • Modèles SDL
  • SDL Pro Network
  • SDL est amélioré par :
  • Des tests par injection de fautes aléatoires
  • L'analyse du code
  • Des exigences dans la conception de la cryptographie
  • Le respect de la vie privée
  • Des API interdites
  • et autres...
  • Windows Vista est la premier système d'exploitation à avoir bénéficié du processus SDL tout au long de son développement.
  • Microsoft impose SDL pour tous ses produits qui :
  • sont exposés à un risque probable, et/ou
  • traitent des données sensibles.
  • Bill Gates a écrit un mémo sur l'informatique de confiance au début de l'année 2002.
  • "Le push de sécurité Windows" est implémenté pour Windows Server 2003.
  • Le push de sécurité et la revue finale de sécurité sont étendus à d'autres produits.

Pour en savoir plus sur l'historique de SDL, lisez le livre blanc Trustworthy Computing Security Development Lifecycle.