Microsoft пойдет по пути повышения безопасности ПО, для чего реорганизует систему управления поправками к программам и вступает в партнерские отношения с VeriSign в сфере аутентификации пользователей веб-сервисов.
Компания пообещала усовершенствовать свою систему рассылки секьюрити-патчей для существующих продуктов. По словам директора Microsoft по стратегии trustworthy computing Скотта Чарни, выступившего на конференции TechEd в Далласе, 95% атак происходит после выпуска поправки к известному пробелу в защите программы.
К концу года компания намерена уменьшить количество способов рассылки патчей заказчикам с восьми до двух. Одна из двух новых систем предназначена для внесения изменений в операционную систему Windows, а другая - в бизнес-приложения Microsoft. Со временем компания сосредоточит все управление поправками в едином инструменте, способном работать со всеми продуктами Microsoft.
Кроме того, Microsoft планирует обеспечить автоматическое внесение поправок в Windows через внутренний реестр, а не через разные части операционной системы. Такая согласованность и регистрация всех патчей, присутствующих в ПО, должны повысить вероятность их правильной установки.
Совершенствование процесса установки патчей - одна из граней инициативы Microsoft Trustworthy Computing, анонсированной в прошлом году. В рамках этой инициативы компания задержала выпуск нескольких важных продуктов, включая операционную систему Windows Server 2003 и инструменты разработки Visual Studio.Net, чтобы как следует проверить код.
Чарни сказал, что Microsoft продолжает курс на безопасное ПО: «Теперь мы проводим тщательную проверку на безопасность всех разрабатываемых продуктов. Это необходимо, так как плохие парни изобретательны не меньше нас».
Как и ожидалось, Microsoft объявила о партнерстве с VeriSign: оно позволит заказчикам использовать службу цифровых сертификатов секьюрити-компании для аутентификации пользователей в сети серверов Windows Server 2003. Эта служба, которая будет работать и в беспроводных сетях Wi-Fi, должна начать функционировать в конце 2003 года.
На TechEd Microsoft представила две программы обучения и сертификации, связанные с безопасностью, - они призваны уменьшить уязвимость систем из-за неправильного конфигурирования приложений. Обе эти программы позволят сертифицированным системным администраторам и инженерам, решающим задачи по защите сетей, еще больше повысить свою квалификацию. Один из экзаменов будет проводиться Ассоциацией индустрии вычислительной техники (CompTIA).