Rosenior sur la blessure de Chalobah, l’avenir de Fernandez et…

La guerre en Iran menace de fournir de l’hélium. Ce que cela…

La plainte a été rejetée et la loi a été rappelée : la France…

#image_title
Logiciels

Évolution du cycle de vie du développement de la sécurité Microsoft | Blog sur la sécurité Microsoft

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

Les développeurs de logiciels et les ingénieurs système de Microsoft travaillent avec des systèmes complexes à grande échelle, nécessitant une collaboration entre des équipes diverses et mondiales, tout en répondant aux exigences d’avancées technologiques rapides. Ils partagent aujourd’hui la manière dont ils relèvent les défis de sécurité dans le livre blanc : Construire la nouvelle génération du cycle de vie de développement de sécurité Microsoft (SDL), créée par des pionniers des futures pratiques de développement logiciel.

Deux décennies d’évolution

Cela fait 20 ans que nous avons introduit le cycle de vie de développement de sécurité Microsoft (SDL), un ensemble de pratiques et d’outils qui aident les développeurs à créer des logiciels plus sécurisés, désormais utilisés dans l’ensemble du secteur. Reflétant la culture de Microsoft en matière de sécurité et née de l’initiative Trustworthy Computing, l’objectif de SDL était et est toujours d’intégrer dès le départ les principes de sécurité et de confidentialité dans la technologie et d’empêcher les vulnérabilités d’atteindre les environnements des clients.

En 20 ans, l’objectif de SDL n’a pas changé. Mais le paysage du développement logiciel et de la cybersécurité a beaucoup à offrir.

Grâce au cloud computing, aux méthodologies Agile et à l’automatisation du pipeline d’intégration et de livraison continue (CI/CD), les logiciels sont expédiés plus rapidement et plus fréquemment. La chaîne d’approvisionnement en logiciels est devenue plus complexe et plus vulnérable aux cyberattaques. Et les nouvelles technologies comme l’IA et l’informatique quantique posent de nouveaux défis et opportunités en matière de sécurité.

SDL est désormais un pilier essentiel de la Microsoft Secure Future Initiative, un engagement pluriannuel qui fait progresser la façon dont nous concevons, construisons, testons et exploitons notre technologie Microsoft Cloud afin de garantir que nous fournissons des solutions répondant aux normes de sécurité les plus élevées possibles.

Vue latérale d'un homme, avec des moniteurs en arrière-plan et une superposition de graphisme

Nouvelle génération du Microsoft SDL

Découvrez comment nous relevons les défis de sécurité.

Évaluation continue

Microsoft a fait évoluer le SDL vers ce que nous appelons le « SDL continu ». En bref, Microsoft mesure désormais l’état de la sécurité plus fréquemment et tout au long du cycle de vie du développement. Pourquoi? Parce que les temps ont changé, les produits ne sont plus expédiés sur une base annuelle ou semestrielle. Avec les pratiques cloud et CI/CD, les services sont expédiés quotidiennement, voire parfois plusieurs fois par jour.

Méthodologie basée sur les données

Pour atteindre une grande échelle au sein de Microsoft, nous automatisons les mesures avec une méthodologie basée sur les données lorsque cela est possible. Les données sont collectées à partir de diverses sources, notamment des outils d’analyse de code comme CodeQL. Notre moteur de conformité utilise ces données pour déclencher des actions en cas de besoin.

CodeQL: moteur d’analyse statique utilisé par les développeurs pour effectuer une analyse de sécurité sur le code en dehors d’un environnement réel.

Même si certains contrôles SDL ne seront peut-être jamais entièrement automatisés, la méthodologie basée sur les données permet d’obtenir de meilleurs résultats en matière de sécurité. Lors des déploiements pilotes de CodeQL, 92 % des éléments d’action ont été traités et résolus en temps opportun. Nous avons également constaté une augmentation de 77 % de l’intégration de CodeQL parmi les services pilotes.

Des preuves transparentes et traçables

La sécurité de la chaîne d’approvisionnement logicielle est devenue une priorité absolue en raison de la multiplication des attaques très médiatisées et de l’augmentation des dépendances à l’égard des logiciels open source. La transparence est particulièrement importante et Microsoft est un pionnier en matière de traçabilité et de transparence dans le SDL depuis des années. À titre d’exemple, en réponse au décret 14028, nous avons ajouté une exigence au SDL pour générer des nomenclatures logicielles (SBOM) pour une plus grande transparence.

Mais nous ne nous sommes pas arrêtés là.

Assurer la transparence dans comment des correctifs surviennent, nous concevons désormais le stockage des preuves dans nos outils et nos plates-formes. Notre moteur de conformité collecte et stocke les données et la télémétrie comme preuve. Ce faisant, lorsque le moteur détermine qu’une exigence de conformité a été satisfaite, nous pouvons indiquer les données utilisées pour effectuer cette détermination. Le résultat est disponible via un graphique interconnecté, qui relie divers signaux provenant de l’activité du développeur et des sorties d’outils pour créer des informations haute fidélité. Cela nous aide à donner à nos clients des garanties plus solides quant à notre sécurité de bout en bout.

Conception, architecture et gouvernance étape par étape
Évolution du cycle de vie du développement de la sécurité Microsoft | Blog sur la sécurité Microsoft 1

Des pratiques modernisées

En plus de rendre le SDL automatisé, basé sur les données et transparent, Microsoft s’efforce également de moderniser les pratiques sur lesquelles le SDL est construit pour suivre l’évolution des technologies et garantir que nos produits et services sont sécurisés dès leur conception et par défaut. En 2023, six nouvelles exigences ont été introduites, six ont été supprimées et 19 ont fait l’objet de mises à jour majeures. Nous investissons dans de nouvelles capacités de modélisation des menaces, accélérons l’adoption de nouveaux langages sécurisés en mémoire et nous concentrons sur la sécurisation des logiciels open source et de la chaîne d’approvisionnement logicielle.

Nous nous engageons à fournir une assurance continue quant à la sécurité des logiciels open source, en mesurant et en surveillant les référentiels de codes open source pour garantir que les vulnérabilités sont identifiées et corrigées sur une base continue. Microsoft s’engage également à intégrer l’IA responsable dans le SDL, en intégrant l’IA dans nos outils de sécurité pour aider les développeurs à identifier et à corriger les vulnérabilités plus rapidement. Nous avons créé de nouvelles capacités, comme l’AI Red Team, pour rechercher et corriger les vulnérabilités des systèmes d’IA.

En introduisant des pratiques modernisées dans le SDL, nous pouvons garder une longueur d’avance sur l’innovation des attaquants, en concevant des défenses plus rapides qui protègent contre de nouvelles classes de vulnérabilités.

Quels avantages le SDL continu peut-il vous apporter ?

Le SDL continu peut vous aider de plusieurs manières :

  • Tranquillité d’esprit: Vous pouvez continuer à être sûr que les produits et services Microsoft sont sécurisés dès leur conception, par défaut et lors de leur déploiement. Microsoft suit le SDL continu pour le développement de logiciels afin d’évaluer et d’améliorer continuellement sa posture de sécurité.
  • Les meilleures pratiques: Vous pouvez apprendre des meilleures pratiques et outils de Microsoft pour les appliquer à votre propre développement de logiciels. Microsoft partage ses conseils et ressources SDL avec la communauté des développeurs et contribue aux initiatives de sécurité open source.
  • Autonomisation: Vous pouvez préparer l’avenir de la sécurité. Microsoft investit dans de nouvelles technologies et capacités qui répondent aux menaces et opportunités émergentes, telles que la cryptographie post-quantique, la sécurité de l’IA et les langages sécurisés pour la mémoire.

Où pouvez-vous en savoir plus ?

Pour plus de détails et des démonstrations visuelles sur le SDL continu, lisez le livre blanc complet rédigé par les pionniers du SDL, Tony Rice et David Ornstein.

Apprenez-en davantage sur la Secure Future Initiative et sur la manière dont Microsoft intègre la sécurité dans tout ce que nous concevons, développons et déployons.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite