Egy nehezen behozható versenyelőny

Az előző cikkben "lazán" kijelentettem, hogy a biztonság területén évekkel a versenytársaink előtt járunk. Gál Tamás javított – helyesen – atekintetben, hogy az első szerver operációs rendszer, amely igazán profitált a Microsoftnál bevezetett Security Development Lifecycle folyamatból, a Windows Server 2003 SP1 volt. Ez némi utánajárásra sarkallt, és találtam egy gyöngyszemet: The First Step on the Road to More Secure Software is admitting you have a Problem. A cikk arról szól, hogy a Microsoftnál bevezetett SDL tette lehetővé, hogy az XP-hez képest csökkenjen a biztonsági rések száma a Vistában. Meg arról, hogy a probléma megoldásának első lépése: elismered a problémát.

No, akkor soroljuk fel a puzzle elemeket:

  • A Microsoft 6 évvel ezelőtt indított el a vállalaton belül egy kultúrális változást, amelynek lényege, hogy minden fejlesztő, tevékenysége minden pillanatában a kód biztonságosságát helyezze előtérbe (Nem azt mondom, hogy a biztonság korábban elhanyagolt terület volt, inkább azt, hogy nem volt kellően hangsúlyos)
  • A kultúrális változás egyik következménye az SDL bevezetése. Ez egy folyamat, amelynek eredménye a lehető legbiztonságosabb kód. A "lehető" egy mozgó valami, a processz pedig 6 éve finomodik. Minden elkövetett biztonsági rés után módosítják a folyamatot, hogy a kétszer ne kövessék el ugyanazt a hibát.
  • Egy ilyen folyamat nem másolható könnyen a versenytársak által: minden konkurensünknek ugyanúgy át kell esnie a tanulási folyamaton.
  • Ha neked van valamid, ami a többieknek nincs, és a piacon azt felhasználhatod, akkor azt a valamit úgy hívják: versenyelőny.

Rakjuk össze: a Microsoftnak van egy nehezen másolható versenyelőnye a biztonságos kód fejlesztése területén. (Árnyalja a képet a Microsoftról kialakított negatív percepció.)

Porter megnyalhatja a tíz ujját, olyan tankönyvi példa ez. És remélem most már nem lóg a levegőben, miért mondom, hogy évekkel a versenytársak előtt járunk.

(Az idézett cikkből van még egy ugrás az eredeti forrásra, Jeff Jones biztonsági blogjának egy cikkére. Innen letölthető a Vista első évének története – biztonsági szempontból. Ez az a kimutatás, amit már fél évvel ezelőtt is publikáltak. Nos, íme az 1 éves adatok. Gyönyörűen látszik, mit tud az SDL folyamat. A PDF végén a FAQ igen érdekes.)

2 Responses to Egy nehezen behozható versenyelőny

  1. Tamas says:

    Már tutira utálatosnak tűnhetek :), de azért pontosítsunk még tovább: az XP SP2 több mint félévvel (2004.08.) előbb volt, mint a W2K3 SP1 (2005.03.) és ugyan ez valóban nem az első szerver, de az első Windows OS, ami a Trustworthy Computing (az a folyamat, amely első lépéseként minden fejlesztést felfüggesztettek, és minden fejlesztőt elzavartak secu tanfokra :D) "jegyeit" már magában hordozta. Még mindig volt benne néhány komoly probléma (pl. a Home változat tűzfal-kivételszabály kezelésében, és stb.), de azért már önmagában "lyukasnak" sem mondhattuk. (És annyira jól működik azóta is, hogy tkp. ez az egyik gátja a Vista komoly méretű elterjedésének :D.)

  2. Tamas says:

    Igen, az XP SP2-t illetően igazad van, ezért voltam óvatos, amikor "szerver operációs rendszer" fogalmat használtam. Elvégre a Windows Server 2008 megjelenése kapcsán születtek a bejegyzések :-)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: