Fundamental Truths of Timeless Software Security

Michael HowardとSteve Lipnerの共著による、The Security Development Lifecycle (PDF)がオンラインで無料で利用できるようになったというMicrosoftの発表は2016年のことでした。Michael、Steve、およびMicrosoftによるコミュニティへのすばらしい貢献。 学問としてのソフトウェアとアプリケーションのセキュリティの継続的な成長は弛まず進んでいます。

彼らがSDLを開発していた頃に働くことができたのは幸運でしたし、たくさんの忘れられない思い出があります。特に私が驚いたのは、物事が変化すればするほど、変わらないものがあるというMichaelのメモでした。

実際、Michaelの思いは、詳細に引用するのに十分重要です：

その間に多くの変化がありましたが、単純な基本が依然として当てはまるのは驚くべきことです。
＜中略＞
確かに、この本では「IoT」や「クラウド」については言及されておらず、「モバイル」という言葉が言及されることはめったにありませんが、機能、脅威モデリング、および静的分析、バグバーなどの他の多くのコアSDLの信条が禁止されています。 ファジングテストと正しい暗号化設計— 3層のアプリケーションやウェブサイトと同じように、IoT、クラウド、モバイルに適用します。 たとえば、Microsoftは最近IoTセキュリティアーキテクチャに関する論文を発表しました。最初のセクションのタイトルは「セキュリティは脅威モデルから始まるのです」でした。

同じ問題が別の時代に

このコンセプトに対する私自身の表現は「同じ問題が別の時代に」であり、これらのトピック（IoT、モバイル、クラウドなど）で顧客と仕事をしたとき、ほぼ同じ感覚を経験しました。これらのことは実際には新しい機能を含んでいることを私は確かに認めますが、特にセキュリティは脅威モデルから始まるという考えに、単純な基本がどれほど適用されているか注目に値すると言えます。セキュリティの最初の一歩は、実際に何を保護しようとしているのか、どのように攻撃されているのか、どのように防御されているのかを理解することから始まるのです。