Şirketlerin yada kurumların daha güvenli yazılım geliştirebilmesi amacı ile , güvenlik açıklarına ve tehditlerine karşı koruma sağlamaya yardımcı olmak için Microsoft tarafından geliştirilen Microsoft Güvenlik Geliştirme Yaşam Döngüsü (SDL), geniş kapsamlı güvenlik uygulamaları ve süreçlerinden oluşmaktadır.
Bu ürün ilk etapta, Microsoft tarafından kendi yazılım ürünlerinin güvenliğini artırmak için geliştirilmiş olsada bir süre sonra belli başlı alanlarda, güvenli yazılım geliştirme çerçevesi kapsamında özelliklede endüstriyel alanda geniş çapta adını duyurarak rağbet gördü.
Microsoft SDL, güvenli yazılım geliştirme sürecinin her aşamasına entegre olmaya yönelik geliştiricilere kapsamlı ve sistematik bir yaklaşım ile hizmet sunar.
Bu kapsamlı ve sistematik yaklaşım ile geliştiriciler, test uzmanları ve proje yöneticileri de dahil olmak üzere geliştirme ekibinin tüm üyeleri, güvenlik uygulamaları konusunda eğitimli ve potansiyel güvenlik tehditlerine karşın bilgi güvenliği farkındalığının yüksek olmasına katkı sağlanmaktadır.
Güvenli yazılım geliştirme tasarım ve geliştirmenin temelini oluşturan ana güvenlik ve gizlilik gereksinimlerini belirleyen yazılım geliştirme sürecinin bir parçasıdır. Güvenli yazılım geliştirmenin amacı yazılım mimarisine ve tasarımına dahil edilip, güvenlik kontrollerinin en başından sisteme entegre edilmesini sağlayarak kod geliştirme sırasını takip edip, yaygın güvenlik açıklarından (ör. arabellek taşmaları, SQL enjeksiyonu) kaçınarak güvenli kod analizi ile kod incelemeleri gerçekleştirerek güvenli bir kod geliştirme sürecinin sağlanmasıdır.
Geliştirilen bir yazılımın yaşam döngüsü boyunca güvenlik riskleri kapsamında sürekli olarak değerlendirilmesini ve yönetimi; ortaya çıkan yeni tehditlere ve güvenlik açıklarına karşı uyum süreci sağlanması ve nasıl bir güvenlik analizi yapılarak önlem alınması konusunda hayati önem arz eder.
Geliştirilen yazılımlarda güncel güvenlik açıkları ve zayıfiyetleri belirlemek ve gidermek için sızma testi, kod tarama ve kod analizi gibi çok çeşitli güvenlik testi teknikleri kullanılmaktadır. Bir yazılımı geliştirilip yayınlandıktan sonraki süreçte, güvenlik olaylarına ve güvenlik açıklarına yanıt vermek için güvenlik güncellemeleri ve yamalarınıda kapsayan güvenli yazılım geliştirme planı oluşturulmalıdır. Özellikle geliştirilen yazılımlarda hassas kullanıcı verilerini işlerken gizlilik koruması yazılıma entegre edilmelidir.
Microsoft, şirketlere ve kurumlara SDL’ i uygulamalarında destek olmak için şablonlar, denetim listeleri ve eğitim materyalleri de dahil olmak üzere çok sayıda kaynak, araç ve rehberlik hizmeti sunar.
Microsoft SDL, yazılım geliştirme sürecinin tüm aşamaları boyunca güvenlik ve gizlilik hususlarını ortaya koyarak geliştiricilerin yüksek düzeyde güvenli yazılım oluşturmasına, güvenlik uyumluluğu gereksinimlerini karşılanmasına ve geliştirme maliyetlerinin azaltılmasına yönelik yardımcı olur.
Kaynak : Microsoft
Eline sağlık.
Teşekkür ederim hocam.