互聯(lián)網(wǎng)在不斷發(fā)展的同時(shí),也面臨著越來越嚴(yán)峻的安全問題。尤其是那些魚龍混雜的第三方軟件,往往容易成為黑客們攻擊的對(duì)象。
微軟的統(tǒng)計(jì)數(shù)據(jù)表明,2008年,在出現(xiàn)的所有安全漏洞里面,與操作系統(tǒng)相關(guān)的漏洞少于6%;與此同時(shí),與第三方應(yīng)用軟件相關(guān)的漏洞占了90%到94%。產(chǎn)生這一問題的原因在于:大的操作系統(tǒng)廠商在開發(fā)的過程中,特別注重在安全性方面的表現(xiàn),產(chǎn)品的整體安全性得到了提高。對(duì)于黑客來說,攻擊操作系統(tǒng)變得越來越困難,于是他們就把攻擊的目標(biāo)轉(zhuǎn)移到應(yīng)用軟件,因?yàn)閼?yīng)用軟件很多是由第三方來開發(fā)的,他們優(yōu)先考慮的是實(shí)現(xiàn)功能,而不是它的安全性,由此就產(chǎn)生了一些安全漏洞。
為了抵御第三方軟件引起的漏洞,保證軟件開發(fā)過程中的安全性和可靠性,微軟創(chuàng)立了SDL(軟件安全開發(fā)生命周期)這一方法論。它一共分為10個(gè)階段,在軟件開發(fā)的每一個(gè)階段中,從安全教育、安全設(shè)計(jì),到安全響應(yīng),微軟都將安全性植入軟件開發(fā)中,有效降低了安全漏洞和隱私問題的數(shù)量,以及殘留漏洞的嚴(yán)重性。
SDL作為獨(dú)立于微軟Windows平臺(tái)的安全方法論,同樣適用于Linux等開源系統(tǒng),可以滿足各種平臺(tái)軟件開發(fā)者的安全需求。