【51CTO.com快譯6月23日外電精選】讓我們先討論一些“轉變”這一現象。當規模巨大、移動遲緩的事物發生轉變時，人們總是很難注意到。但是，經過十年對其軟件安全承諾的負面新聞，微軟似乎已經痛定思痛。近幾年來，微軟獲得了一系列來自安全方面的贊譽，而這些表揚往往是來自那些過去批評微軟最厲害的人。許多世界上最有才華的安全專家也在紛紛要求他們最支持的軟件供應商能像微軟那樣，對安全更加重視起來。（51CTO編者按：話雖如此，但最近一段時間的微軟安全漏洞還是層出不窮，看下今年六月份的安全報告便知，這個月的漏洞補丁可以單刻一張光盤。）

憎恨微軟的人依然恨它，但技術方面的媒體對微軟在安全方面的工作給予了很高的評價，微軟所做出的努力足以使自己成為計算機軟件安全的領導者。以下是一些媒體最近對微軟的評價：

“在很長一段時間內，微軟因為不安全的產品破壞了自己的聲譽。但是，從一個產業的角度來看，我們應該正確的看到微軟對安全已變得前所未有的重視。而微軟計劃向外界分享其安全開發生命周期過程只是其中的一個例子而已，更重要的是鼓勵其他廠商能夠像微軟這樣重視軟件的安全?！薄猄ANS NewsBites

“微軟將成為安全軟件開發的領導者。 ”——CNET

“五年前，當我第一次開始撰寫有關信息安全的文章時，所有的作者只要在有“安全漏洞”字樣的標題上提到微軟，就能使自己的文章有不錯的點擊率。在2004年，微軟的可信計算倡議也已經提出幾年了，但它仍然使得軟件公司的IT安全從業人員嗤之以鼻....這與今天的情況大不一樣了?！薄狢omputerworld

“Independent Security Evaluators公司的首席分析師Charlie Miller曾經成功地利用過Windows、OS X和Linux操作系統的漏洞，他表示，‘Windows 7全新的內存保護機制非常的聰明。我想微軟打算在這個方面保持領先。”——The Register

“SANS研究院的首席技術官Johannes Ullrich曾經給開發者教過安全編碼課程，...他認為memcpy（）函數和其他安全風險較高的函數，如strcpy()和strcat()的命運相同，在多年以來數不清的遭遇之后已經被微軟徹底禁止使用了。我想知道什么時候‘Larry（甲骨文CEO）、Steve（蘋果CEO）和Linus（Linux之父）’會計劃在他們的產品中發布類似的安全規定。這個問題值得一問”——The Register

“蘋果公司需要在安全領域吸取微軟的教訓，雖然這么說并不討巧。但數年來微軟應對來自病毒、惡意軟件等的威脅（一部分原因是由于微軟產品的用戶群更大，另一部分原因是不得不承認的編程缺陷），使得機器編程一臺更好的機器，迅速而果斷地響應威脅?！薄狢runchGear

你可以從中獲得什么？

這不僅僅是媒體的報道而已。每一個普通的安全機制和漏洞保護機制都表明，微軟所出品的軟件的安全性經過數年的努力已經大大提高了，特別是與它的主要競爭對手相比的時候。被本公司雇員和外部研究人員發現的漏洞和幾年前相比，起數量已經下降了一半以上。對于某些產品(如IIS和SQL 服務器等)而言，安全性能的改進是非常驚人的，從以前每年暴幾十個漏洞利用程序，到5年才出現少數漏洞利用程序。

黑客們已經從側重攻擊Windows漏洞，轉而把攻擊第三方應用程序和對終端用戶使用社會工程學作為主要的攻擊途徑。當周二補丁（Patch Tuesday）首次出現時，人們紛紛嘲笑微軟。但現在，它已成為其他許多易被攻擊軟件廠商發布升級的一種模式，不使用定期升級補丁的供應商被顧客要求進行升級。關于周二補丁日，有興趣的朋友可以看下“從周二補丁日和0Day談殺軟和IPS”這個文章。

當然，微軟仍然遭受到了批評，想在安全方面改變大眾的對自己的負面印象還有很長的路要走，但是也不能說微軟沒有取得重大的進展。雖然它的成功包括了許多因素：更好的補丁、基于主機的防火墻，并負責任的公布很多安全隱患，但成功的主要因素來自于安全開發生命周期（SDL）。

越來越多的軟件開發者們認為應該效仿微軟的編程安全模式，這甚至包括那些聲稱自己憎恨微軟的人。媒體的報道過去了也就過去了，但是這并不會消去已經對潛在客戶產生的影響。

文章看到這里，你可能會說：這篇專欄文章除了包含了給我的雇主（指微軟）的榮譽之外，是不是得有個中心思想。是的，確實應該如此。

首先，SDL的成功再也不能被忽視了。在微軟從一個安全的笑柄到一個安全的領導者的轉變過程中，SDL發揮了巨大作用。這個轉變是巨大的，它價值數十億美元。

其次，它得到了從首席執行官到公司下層的鄭重承諾。如果沒有來自管理層長期的承諾，SDL的成功是很難成功的。

第三，即使得到了所有的高層管理人員的最高承諾，而且重新培訓的工作人員，并且整個公司也特別的重視，SDL的完成依然花了大約五年的時間。雖然讓所有的程序員轉變成安全程序員可能只要花幾個星期，但是要想轉變一個公司的文化，花費的時間就不止幾個星期了，這需要通過多年的對薄弱環節的研究，還要能提供新的工具和解決方案，這樣才能最終改變根深蒂固的開發政策和過程。他們采取了而且還將繼續采取內部討論的方式，讓每個人在討論中都說出他們對某些決定的感受。

但最令人激動的是，微軟把引起自身重大轉變的大多數工具和數千頁信息全部免費的提供給任何人。你和你的公司也可以通過利用這些東西，從而開發出出更多的安全軟件。

你不必重新發明你自己的安全密碼算法和密鑰。微軟已經在成熟的SDL模型中走了很長一段路，你可以從它總結出來的發展策略、標準和開發進程中受益很多。微軟公司邀請我們所有的人加入到這個項目中，而不是把這些成就據為己有，當作一個有競爭性的賣點。總而言之，一個強大的、更安全的計算機系統將使每個人都受益。51CTO編者注：關于SDL，可以看下“應用安全與微軟SDL-IT流程”一文。

如果你希望SDL能給你所在的公司帶來益處，那么就從瀏覽微軟的SDL培訓和資源網頁和Michael Howard的MSDN博客開始吧。我敢打賭，你不能從其他地方找到像SDL這么多免費的、能夠提升軟件安全能力的資源。

讓競爭對手為你打廣告是一回事，試著為所有人改進安全性能則是另一回事。

【編輯推薦】

1. 微軟發布2009年6月份的安全公告(含補丁下載)
2. 基于云計算的微軟免費殺毒軟件Morro曝光
3. 微軟免費殺毒軟件Morro開始測試 征求定名

【51CTO.com譯稿，非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com，且不得修改原文內容。】

原文：Pigs fly! Microsoft leads in security  作者：Roger Grimes