Microsoft Security Development Lifecycle

Search


Processus SDL

Qu'est-ce que le cycle de développement sécurisé Microsoft SDL ?

Microsoft SDL (Security Development Lifecycle) est un processus d’assurance qualité centré sur le développement logiciel. C'est un ensemble d'activités obligatoires dans le domaine de la sécurité, regroupées par phases tout au long du cycle de développement traditionnel du logiciel. La plupart de ces activités peuvent déjà contribuer à renforcer la sécurité lorsqu’elles sont appliquées chacune séparément. Toutefois, l’expérience pratique de Microsoft montre que ces activités conduisent à des améliorations bien supérieures de la sécurité lorsqu’elles sont combinées entre elles, tout au long du processus de développement. En combinant une approche globale et pratique, SDL introduit la sécurité et le respect de la vie privée dès le début et tout au long des différentes phases du développement.

Cette section résume les phases SDL et les activités obligatoires dans le domaine de la sécurité, et propose des liens vers le processus Microsoft SDL sur MSDN. Le guide du processus SDL montre comment Microsoft applique SDL à ses produits et à ses technologies.

Cycle de développement sécurisé : Sécuriser plus facilement les logiciels
Formation Exigences préliminaires à SDL : Formation à la sécurité. Un programme de formation bien préparé permet aux équipes de développement d'apprendre les bases de la sécurité et du respect de la vie privée, de découvrir des problèmes techniques spécifiques et de connaître les récentes tendances en sécurité et en piratage.
Exigences requises La phase Exigences est celle où les équipes de développement étudient comment mieux intégrer la sécurité et le respect de la vie privée dans le processus de développement, et identifient les principaux objectifs de sécurité tout en visant à réduire les perturbations dans la planification, le calendrier et la souplesse d'utilisation de l'application.
Conception La phase Conception identifie la structure et les exigences globales pour le logiciel, et définit les pratiques recommandées. Un élément principal de la phase Conception dans SDL est la modélisation des menaces. En savoir plus sur l'outil SDL de modélisation des menaces.
Implémentation Au cours de la phase Implémentation, l'équipe de développement rend obligatoire les pratiques recommandées et veille à ce qu'elles soient respectées pendant toute la durée du projet.
Vérification La phase Vérification correspond au moment où le logiciel est complet sur le plan fonctionnel et doit être testé pour vérifier que les objectifs en termes de sécurité et de respect de la vie privée, définis dans les phases Exigences et Conception, ont bien été respectés.
Diffusion Pendant la phase Diffusion, l'équipe projet crée un plan de réponse aux incidents, effectue la Revue finale de sécurité (FSR pour Final Security Review en anglais) et archive toutes les données pertinentes qui peuvent servir pour la maintenance ultérieure du produit.
Réponse Condition requise après SDL : La réponse. Lorsqu’un programme a été diffusé, l’équipe de développement doit être capable de répondre à des problèmes potentiels de respect de la vie privée ou de sécurité qui justifient une réponse. Pour cela, elle utilise les plans et les ressources issus de la phase Diffusion. Pour en savoir plus sur la phase réponse, visitez la Microsoft Security Response Center (MSRC).

Exploitez SDL dans votre entreprise

  • Quels sont les types de logiciels qui peuvent bénéficier de SDL ?
    L’expérience pratique suggère que les applications qui présentent une ou plusieurs des caractéristiques suivantes soient soumises à SDL :

    • L'application est déployée dans un environnement d'entreprise ou professionnel.
    • Elle traite des informations personnelles identifiables (PII) ou d'autres informations sensibles.
    • Elle communique régulièrement sur Internet ou via des réseaux.

  • Implémentation simplifiée de Microsoft SDL
    La méthodologie SDL n'est spécifique ni à Microsoft ni à la plateforme Windows. Elle peut être appliquée à d'autres systèmes d'exploitation, plateformes, méthodologies de développement et projets de toutes tailles. Démarrer avec Microsoft SDL.

    Télécharger le guide Implémentation simplifiée de Microsoft SDL
    Téléchargez le guide Implémentation simplifiée de SDL et répertoriez les activités de sécurité qui devraient être réalisées pour être conforme à SDL.


Liens connexes


Guide du processus SDL version 5.0

SDL pour un développement Agile

SDL pour des applications métier

Outil SDL de modélisation des menaces

Modèle du processus SDL

The Security Development Lifecycle

Michael Howard et Steve Lipner, Microsoft Press, Redmond, Washington, 2006

Actions

Imprimer cette page

 Print this page

Envoyer cette page

 Email this page

Partager cette page

 Share this page