Şirketlerin yada kurumların  daha güvenli yazılım geliştirebilmesi amacı ile ,  güvenlik açıklarına ve tehditlerine karşı koruma sağlamaya yardımcı olmak için Microsoft tarafından geliştirilen Microsoft Güvenlik Geliştirme Yaşam Döngüsü (SDL), geniş kapsamlı güvenlik uygulamaları ve süreçlerinden oluşmaktadır.

Bu ürün ilk etapta, Microsoft tarafından kendi yazılım ürünlerinin güvenliğini artırmak için geliştirilmiş olsada bir süre sonra belli başlı  alanlarda,  güvenli yazılım geliştirme çerçevesi kapsamında  özelliklede endüstriyel alanda geniş çapta adını duyurarak rağbet gördü.

Microsoft SDL, güvenli yazılım geliştirme sürecinin her aşamasına entegre olmaya yönelik geliştiricilere kapsamlı ve sistematik bir yaklaşım ile hizmet sunar.

Bu kapsamlı ve sistematik  yaklaşım ile geliştiriciler, test uzmanları ve proje yöneticileri de dahil olmak üzere geliştirme ekibinin tüm üyeleri, güvenlik uygulamaları konusunda eğitimli ve potansiyel güvenlik tehditlerine karşın bilgi güvenliği  farkındalığının yüksek olmasına katkı sağlanmaktadır.

Güvenli yazılım geliştirme tasarım ve geliştirmenin temelini oluşturan ana güvenlik ve gizlilik gereksinimlerini belirleyen yazılım geliştirme sürecinin bir parçasıdır. Güvenli yazılım geliştirmenin amacı  yazılım mimarisine ve tasarımına dahil edilip, güvenlik kontrollerinin en başından sisteme entegre edilmesini sağlayarak kod geliştirme sırasını takip edip, yaygın güvenlik açıklarından (ör. arabellek taşmaları, SQL enjeksiyonu) kaçınarak güvenli kod analizi ile  kod incelemeleri gerçekleştirerek güvenli bir kod geliştirme sürecinin sağlanmasıdır.

Geliştirilen bir yazılımın  yaşam döngüsü boyunca güvenlik riskleri kapsamında sürekli olarak değerlendirilmesini ve yönetimi; ortaya çıkan  yeni tehditlere ve güvenlik açıklarına karşı uyum süreci sağlanması ve nasıl bir  güvenlik analizi yapılarak önlem alınması konusunda hayati önem arz eder.

Geliştirilen yazılımlarda güncel güvenlik açıkları ve zayıfiyetleri belirlemek ve gidermek için sızma testi, kod tarama ve kod analizi gibi çok çeşitli güvenlik testi teknikleri  kullanılmaktadır. Bir yazılımı geliştirilip yayınlandıktan sonraki süreçte, güvenlik olaylarına ve güvenlik açıklarına yanıt vermek için güvenlik güncellemeleri ve yamalarınıda kapsayan güvenli yazılım geliştirme planı oluşturulmalıdır. Özellikle geliştirilen yazılımlarda  hassas kullanıcı verilerini işlerken gizlilik koruması yazılıma entegre edilmelidir.

Microsoft, şirketlere ve kurumlara  SDL’ i uygulamalarında destek olmak için  şablonlar, denetim listeleri ve eğitim materyalleri de dahil olmak üzere çok sayıda kaynak, araç ve rehberlik hizmeti sunar.

Microsoft SDL, yazılım geliştirme sürecinin tüm aşamaları boyunca güvenlik ve gizlilik hususlarını ortaya koyarak geliştiricilerin yüksek düzeyde güvenli yazılım oluşturmasına, güvenlik uyumluluğu gereksinimlerini karşılanmasına ve geliştirme maliyetlerinin azaltılmasına yönelik yardımcı olur.

Kaynak : Microsoft

By Arzu TUFAN

Cyber Security | ISC2 CC | ICSI-CNSS | MCP-MCTS | ISO/IEC 27001 LA - ISO/IEC 9001 LA - ISO/IEC 22301-ISO/IEC 31000 | DPO | Academic Writer | Global Bilişim Derneği Founding Board Member @BilisimDernegiO @BilisimGrubu

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir