Modelo de Maturidade de Desenvolvimento Seguro

A Microsoft é uma das empresas pioneiras na implementação de um processo de desenvolvimento de código seguro, e o seu Secure Development Lifecycle (SDL) é talvez a única metodologia de desenvolvimento seguro que já foi utilizada em projetos de larga escala com tempo suficiente para ter resultados demonstráveis. Maturidade suficiente para a Microsoft se sentir confiante em começar a "exportar" esta metodologia para ser utilizada por outras organizações para desenvolver softwares mais seguros.

Neste espírito a Microsoft anunciou três novos programas em torno do SDL, que serão lançados agora em Novembro:

¦ SDL Pro Network, um programa que permite a parceiros oferecer serviços baseados na metodologia SDL. Estes parceiros irão utilizar o SDL como a fundação para serviços de treinamento e consultoria para ajudar organizações a produzir elas mesmo software mais seguro.

¦ Microsoft SDL Threat Modeling Tool 3.0, uma ferramenta que facilita e automatiza a construção de um modelo de ameaças (threat model) para um software. A ferramenta estará disponível gratuitamente, e apesar da integração com o Visual Studio Team Foundation Server ele na verdade pode ser utilizado para modelagem de ameaças independente da linguagem, plataforma ou ambiente de desenvolvimento.

¦ SDL Optimization Model, efetivamente um modelo que permite a organizações identificarem o nível de maturidade em que se encontram em relação as capacidades requeridas pelo SDL. Este modelo define cinco áreas de capacidade ("Treinamento, Política e Capacidades Organizacionais", "Requisitos e Design", "Implementação", "Verificação", "Lançamento e Resposta"), cada uma equivalente a uma das macro-fases do processo SDL, çonforme mostrado na figura abaixo:

SDL_Optimization

O modelo usa os mesmos quatro estágios de evolução definidos pelo Gartner Group para o seu Infrastructure Maturity Model (Porquê não usar o CMM? Boa pergunta, e eu não sei a  resposta – talvez porque o uso do modelo do Gartner já seja bastante utilizado pela área de vendas e serviços da Microsoft para medir a maturidade da infraestrutura e plataforma de desenvolvimento nos seus clientes). Com este modelo uma organização pode identificar em que estágio está em cada uma destas áreas de capacidade e definir as suas ações para aumentar a sua maturidade em desenvolvimento de código seguro.

Assim como a ferramenta de modelagem de ameaças, o SDL Optimization Model também vai estar disponível para download gratuito em Novembro, e pode ser utilizada por qualquer organização independente da sua arquitetura ou plataforma de desenvolvimento preferida.