“我们有一个统计数据表明,出现的所有的安全漏洞里面,整个比例中,跟操作系统有关的漏洞应该是少于9%,我记得在08年的时候,这个比例是6%,与此同时,和应用软件相关的这个漏洞占了90%到94%。”微软大中华区战略安全官裔云天说。
裔云天解释说,大的操作系统厂商在安全性方面投了很多的精力,对于很多黑客来说,攻击操作系统变得越来越困难,他就把这个目标转移到应用软件,因为应用软件的开发是由很多的第三方来开发,而这些第三方开发者往往缺乏对于安全性的考虑。
为提升产品安全性,微软在产品开发中引入了软件安全开发生命周期(SDL)这一概念。裔云天说“它一共分为10个阶段,这10个阶段,从它的设计,包括它里面有一个最重要的一点,叫威胁建模。我们在网站提供了一个软件,当你设计软件的时候,你可以用那个威胁建模的软件来评估一下,您这个软件可能有的安全威胁在哪里?然后,针对这个安全威胁,你后面设计你的软件整个流程的时候,应该怎么做?”
裔云天透露,微软目前也正跟CC国际标准组进行合作,把SDL能做为其中一个重要部分,使其成为一个标准。
在美国、英国等地,微软已经展开了SDL的培训计划。在中国已经有很多大的机构已经采用SDL,但是,因为没有大规模地进行推广。”“我们可能会通过软件园培训等多方面进一步推广SDL,这也是我今年工作的一个重点。”裔云天说。