微软将在中国推广软件安全开发生命周期

随着第三方软件安全威胁的加大，微软明年将会加大软件安全开发生命周期在中国的推广力度。
“我们有一个统计数据表明，出现的所有的安全漏洞里面，整个比例中，跟操作系统有关的漏洞应该是少于9%，我记得在08年的时候，这个比例是6%，与此同时，和应用软件相关的这个漏洞占了90%到94%。”微软大中华区战略安全官裔云天说。

裔云天解释说，大的操作系统厂商在安全性方面投了很多的精力，对于很多黑客来说，攻击操作系统变得越来越困难，他就把这个目标转移到应用软件，因为应用软件的开发是由很多的第三方来开发，而这些第三方开发者往往缺乏对于安全性的考虑。

为提升产品安全性，微软在产品开发中引入了软件安全开发生命周期(SDL)这一概念。裔云天说“它一共分为10个阶段，这10个阶段，从它的设计，包括它里面有一个最重要的一点，叫威胁建模。我们在网站提供了一个软件，当你设计软件的时候，你可以用那个威胁建模的软件来评估一下，您这个软件可能有的安全威胁在哪里？然后，针对这个安全威胁，你后面设计你的软件整个流程的时候，应该怎么做？”

裔云天透露，微软目前也正跟CC国际标准组进行合作，把SDL能做为其中一个重要部分，使其成为一个标准。

在美国、英国等地，微软已经展开了SDL的培训计划。在中国已经有很多大的机构已经采用SDL，但是，因为没有大规模地进行推广。”“我们可能会通过软件园培训等多方面进一步推广SDL，这也是我今年工作的一个重点。”裔云天说。