image

Microsoft: Eerste stap naar veilige software is zelfkennis

vrijdag 22 februari 2008, 12:37 door Redactie, 13 reacties

Windows Vista bevat meer regels code dan XP, dus zou het logisch zijn dat er meer beveiligingslekken in het nieuwe OS worden gevonden, toch is dat niet het geval omdat Microsoft naar eigen zeggen over zelfkennis beschikt. Microsoft zag dat het haar software beter moest beveiligen en zo werd de Security Development Lifecycle (SDL) geboren, met als gevolg veiligere producten, aldus Microsoft securitychef Michael Howard.

"Je verbetert security door je te richten op security. Niet door te dromen en niet te geloven in oude mythen dat als er maar genoeg mensen naar je software kijken er meer problemen worden gevonden. Als dit mantra zou kloppen, dan zouden er maar weinig beveiligingslekken in open source aanwezig zijn. Er zijn echter voldoende lekken in open source programma's gevonden."

Howard reageert naar aanleiding van het omstreden rapport van Jeff Jones, waaruit zou blijken dat Windows Vista van alle populaire besturingssystemen met de minste beveiligingsproblemen heeft te maken. Critici vonden dat de vergelijking niet klopte, omdat bij deze systemen ook andere programma's werden meegeteld. "Het kan mij niet schelen hoe groot een Linux distro is of hoeveel IM clients in Ubuntu zitten. Het zijn gewoon veel beveiligingslekken. Niemand hoor je erover dat deze problemen verholpen moeten worden. Ik hoor alleen maar emotie, excuses en dogma's."

Volgens Howard wordt het de hoogste tijd dat ook de concurrentie toegeeft dat het beveiligingsproblemen heeft en ook eens vorderingen gaat maken, aangezien het vergelijken van cijfers niet opschiet.

Reacties (13)
22-02-2008, 13:18 door Walter
Volgens Howard wordt het de hoogste tijd dat ook de concurrentie
toegeeft dat het beveiligingsproblemen heeft en ook eens vorderingen
gaat maken, aangezien het vergelijken van cijfers niet opschiet.
En daar heeft de beste man dus wel helemaal gelijk in!

Uit TFA
I would love to see others in the industry stand up and admit there is a
problem that needs solving and start doing something about it. I really,
really would, because we need to secure the entire computing ecosystem.
Comparing numbers is interesting, but what really matters is this: is
progress being made?
En ook dit is een erg goede opmerking van de beste man.
Ik ben geen MS fanboy, en er staan ook dingen in het artikel waar ik het
minder mee eens ben, maar de kern van zijn verhaal is natuurlijk helemala
niet verkeerd.
Hij heeft het ook over het niet kunnen vergelijken van MS, Apple, Linux,
BSD, en de rest, maar blijft wel telkens zelf terug komen op vergelijkingen
met anderen. Dat vind ik een beetje jammer.
22-02-2008, 13:28 door Anoniem
SDL oke voor een deel heeft het gewerkt het patch proces is behoorlijk
verbeterd en er zijn mooie security sessies geweest en er is veel te vinden
over veilig werken en programmeren

Maar was het niet howard schmidt dat een groot deel van de ontwikkelaars
niet goed opgeleid was m.b.t. beveiliging?

En dat een groot deel vd ontwikkelaars (70%) geen garanties konden
geven dat ze veilig programmeerden?

Dream on ..mensen verander je niet zomaar.

Vista sp1 ..was dat niet ff stop gezet?

Er blijven altijd gaten over zolang er mensenhanden aan gezeten hebben.

Ontonkomenlijk...murphy rulez.

Het is gewoonweg lachwekkend dat als de hoeveelheid toeneemt de
fouten niet zouden toenemen.

Vroeger, ...je weet wel toen je nog knap was...noemden we het bugs.
22-02-2008, 13:46 door Anoniem
Allemaal mooi en aardig, maar zolang source-code gesloten is, blijf je
afhankelijk van de grillen van de leverancier of hij bereid is om wat te doen
aan geconstateerde gebreken, en mochten er patches gemaakt worden,
wanneer dan wel? Tot slot wordt er in het beste geval ooit in de toekomst
een patch geleverd die zogenaamd het probleem moet oplossen, maar
aangezien de code nog steeds gesloten is, weet je dus niet wat er precies
verandert is. Uberhaupt is het een idioot idee om bedrijfen lukraak elke
code te laten mogen uitvoeren op jouw hardware waar jouw data op staat.
Je hebt 0,0 % garantie dat de proprietary software slechts datgene doet
wat jij vind/denkt/"bent overeengekomen" wat het doet.

Dus zoals ik het bekijk is "closed software" per definite een
beveiligingsrisico.

Groeten,
Sem
22-02-2008, 14:17 door Anoniem
Door Anoniem
Allemaal mooi en aardig, maar zolang source-code gesloten
is, blijf je
afhankelijk van de grillen van de leverancier of hij bereid
is om wat te doen
aan geconstateerde gebreken, en mochten er patches gemaakt
worden,
wanneer dan wel? Tot slot wordt er in het beste geval ooit
in de toekomst
een patch geleverd die zogenaamd het probleem moet oplossen,
maar
aangezien de code nog steeds gesloten is, weet je dus niet
wat er precies
verandert is. Uberhaupt is het een idioot idee om bedrijfen
lukraak elke
code te laten mogen uitvoeren op jouw hardware waar jouw
data op staat.
Je hebt 0,0 % garantie dat de proprietary software slechts
datgene doet
wat jij vind/denkt/"bent overeengekomen" wat het doet.

Dus zoals ik het bekijk is "closed software" per
definite een
beveiligingsrisico.

Groeten,
Sem

Hear hear !!!
22-02-2008, 14:47 door spatieman
Zelfkennis??
daar hebben ze bij M$ nooit van gehoord.
22-02-2008, 15:42 door Anoniem
Eerlijk is eerlijk, hij heeft natuurlijk gelijk.
22-02-2008, 17:18 door Sith Warrior
Tja, ik vind dat ze idd wel een punt hebben. Dat closed source software per
definitie een beveiligings risco is dat is natuurlijk puur onzin als je dat zou
afzetten dat open source software per definitie veilig is.

Het hangt denk ik alle twee een beetje in het midden. Het heeft alle twee
zijn pro's en con's.
22-02-2008, 22:55 door Anoniem
Grappig, Microsoft heeft blijkbaar opeens 'het licht'
gezien, en beginnen de eerste bijbehirende arrogante trekjes
te vertonen.
Het betekent in elk geval dat ze op de goede weg zijn, en
zich dat ook bewust zijn.
However, van harte! :)
23-02-2008, 08:44 door Anoniem
Door Anoniem
Allemaal mooi en aardig, maar zolang source-code gesloten is, blijf je
afhankelijk van de grillen van de leverancier of hij bereid is om wat te doen
aan geconstateerde gebreken, en mochten er patches gemaakt worden,
wanneer dan wel? Tot slot wordt er in het beste geval ooit in de toekomst
een patch geleverd die zogenaamd het probleem moet oplossen, maar
aangezien de code nog steeds gesloten is, weet je dus niet wat er precies
verandert is. Uberhaupt is het een idioot idee om bedrijfen lukraak elke
code te laten mogen uitvoeren op jouw hardware waar jouw data op staat.
Je hebt 0,0 % garantie dat de proprietary software slechts datgene doet
wat jij vind/denkt/"bent overeengekomen" wat het doet.

Dus zoals ik het bekijk is "closed software" per definite een
beveiligingsrisico.

Groeten,
Sem
Uberhaupt is het ......................
Het is jouw zin. Vervolgens trek je de conclusie, dat closed software per
definitie een beveiligingsrisico is.
Sommigen zijn het met je eens. Maar als ik een bedrijf had, zou ik geen
open source nemen om vervolgens die iedereen, die daar in zou willen
veranderen toe te laten op mijn systemen. Jij wel?
23-02-2008, 10:23 door Eerde
Maar als ik een bedrijf had, zou ik geen
open source nemen om vervolgens die iedereen, die daar in
zou willen
veranderen toe te laten op mijn systemen. Jij wel?
Sinds wanneer staat open source gelijk aan: "iedereen toe te
laten op je systeem" ?

Verder is het evident dat open source, waar er ~200.000
mensen zijn die naar de broncode kijken, veiliger is dan
closed source, waar alleen een groepje werknemers van het
bedrijf naar kijken die de software zelf geschreven hebben.
23-02-2008, 14:38 door Anoniem
Door spatieman
Zelfkennis??
daar hebben ze bij M$ nooit van gehoord.
bijna iedereen gedraagt zich normaal in dit onderwerp,
waarom moet jij nou wel het kleine kind uithangen?
23-02-2008, 19:48 door Ron66
Door Eerde
Maar als ik een bedrijf had, zou ik geen
open source nemen om vervolgens die iedereen, die daar in
zou willen
veranderen toe te laten op mijn systemen. Jij wel?
Sinds wanneer staat open source gelijk aan: "iedereen toe te
laten op je systeem" ?

Verder is het evident dat open source, waar er ~200.000
mensen zijn die naar de broncode kijken, veiliger is dan
closed source, waar alleen een groepje werknemers van het
bedrijf naar kijken die de software zelf geschreven hebben.

Groepje werknemers daar vergist je je toch wel een beetje in
Microsoft is een zeer grootte organisatie.
Dat daar slechtere programmeurs zitten dan in de open source
gemeenschap is uiteraard ook gelul.
Zeg gewoon dat de opbouw van een Linux systeem veiliger is.... dan
heb je wel gelijk.
25-02-2008, 20:01 door Anoniem
Het is wel degelijk relevant om over de beveiligingslekken
van MS harder te roepen dan over een willekeurige OpenSource
distro.
OpenSource is gratis, MS verre van.
Je telt een behoorlijke som voor je licenties neer en zou
dan niet (harder) mogen klagen dan over iets dat gratis is?

Als bijvoorbeeld het openbaarvervoer gratis zou zijn zou er
een stuk minder geklaagd worden over het al dan niet
regelmatig en op tijd rijden dan nu.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.