Processo SDL em Detalhes

A Microsoft acaba de divulgar para download a documentação do seu processo de desenvolvimento seguro (Secure Development Lifecycle ou SDL) . Este é basicamente o mesmo documento que é usado internamente pelos times de produto da Microsoft (apenas "sanitizado" para remover referências para sites internos, etc.), e descreve em detalhes cada uma das 11 fases do processo, com os requisitos de segurança e privacidade envolvidos em cada fase e referências para mais informações.

As informações mais interessantes talvez estejam nos anexos, onde estão descritos vários critérios técnicos usados no desenvolvimento, como os parâmetros de compilação, linkagem e análise de código fonte utilizados e a política em relação a interação com firewalls. Lá estão também o questionário utilizado na avaliação de privacidade e exemplos de bug bar e security plan usados durante o processo.

Esta é a versão 3.2 do processo, que é versionado a cada seis meses. O documento está em inglês e no formato ISO 29500 (Open XML) usado pelo Office 2007. Para abrir o documento em versões anteriores do Microsoft Office é necessário instalar o Office Compatibility Pack (download gratuito).