Det er i denne tid 10 år siden, at Microsoft begyndte at tage sikkerhed alvorligt.
Firmaet havde dengang med rette ry for at fremstille produkter, der satte brugervenlighed højere end sikkerhed. Programmer som Internet Explorer og IIS (Internet Information Services) var fyldt med alvorlige sikkerhedshuller.
Men med initiativet Trustworthy Computing besluttede Bill Gates at gøre op med de dårlige vaner.
Det mest synlige resultat blev Security Development Lifecycle (SDL), som er et sæt best practices for sikker systemudvikling.
SDL er et stort og komplekst rammeværk. Men det virker. En rapport fra analysefirmaet Forrester udarbejdet på vegne af Microsoft viste for et år siden, at en investering i SDL kan give direkte økonomiske gevinster.
Det skyldes, at software med færre sårbarheder giver færre udgifter til at finde og rette fejl.
Endvidere gør en metodologi som SDL det muligt at få produkter hurtigere på markedet, fordi den afsluttende test finder færre fejl.
Sikker finanssoftware
Den gode nyhed som jeg indledte denne klumme med, kommer fra organisationen Financial Services Roundtable, der består af USA's største finansvirksomheder.
Deres division for teknologi, BITS, har netop udsendt BITS Software Assurance Framework.
Det nye rammeværk er en overordnet beskrivelse af, hvordan finansielle virksomheder kan gøre deres systemudvikling mere sikker.
En god del af indholdet er taget direkte fra SDL.
En vigtig pointe i både SDL og BITS-rammeværket er, at sikkerhed er en væsentlig dimension af ethvert udviklingsprojekt.
Sikkerhed er ikke noget, man klistrer på til sidst, når programmet er skrevet færdigt.
I stedet skal sikkerheden tænkes ind lige fra starten som en integreret del af systemudviklingsprocessen.
Både SDL og BITS-rammeværket kan hentes gratis.
Jeg vil opfordre alle med ansvar for systemudvikling til at kigge dem igennem.
Der er god inspiration at hente - også selvom man ikke driver en udviklingsorganisation med hundredvis af programmører.
Artiklen fortsætter på næste side...
