Het is vijf jaar geleden sinds Bill Gates zijn legendarische memo onder het Microsoft personeel verspreidde waarin hij opriep tot het ontwikkelen van veiligere software. Sindsdien heeft de softwaregigant veel geld, tijd en energie in veilig programmeren en ontwikkelen gestoken, en wil het die lessen nu met iedereen delen. "Wat hebben we de afgelopen vijf jaar eigenlijk geleerd? De meeste lessen zijn overduidelijk, maar net zoals met veel vanzelfsprekende zaken, moet iemand het soms eerst aanwijzen", zegt Microsoft beveiligingsexpert Michael Howard.

"Beveiliging is geen statisch veld, het is continu aan het evolueren als aanvallers aanvallen, verdedigers verdedigen en de een meer leert over de technieken van de ander. Security is een wapenwedloop. Om voorop te blijven lopen en te anticiperen op de aanvallers, moeten wij, de verdedigers, van onze fouten leren en manieren ontwikkelen om onze gebruikers beter te schermen."

Volgens Howard ligt het probleem niet alleen in de code, maar ook in het ontwerp van de software en moet men meer aandacht besteden aan problemen en potentiële aanvalsoppervlaktes. Een andere geleerde les is het fixen van oude code en het verhelpen of verwijderen van oude features die een beveiligingsprobleem vormen. Verder ziet Howard een belangrijke rol voor tools, zodra die op een juiste manier worden toegepast en ontwikkelaars er niet van afhankelijk worden. Ook moet men proberen zoveel mogelijk te automatiseren. Ondanks alle geleerde lessen erkent de beveiligingsspecialist dat het nooit mogelijk zal zijn om software zonder beveiligingslekken te ontwikkelen, en dat security een nooit eindigend gevecht is.

"Als er iets is dat ik in de afgelopen jaren geleerd heb, dan is het dat als het om security gaat, je bereid moet zijn dat je ideeën en opvattingen continu worden uitgedaagd, en je proactief moet zijn om voorop te lopen. Als je de geleerde lessen uit dit artikel toepast, zou het goed met je moeten komen."