domingo, 3 de abril de 2011

Informe de progreso del proceso SDL (Microsoft)

Microsoft SDL Progress Report

Avances en la reducción de las vulnerabilidades del software y el desarrollo de la mitigación de amenazas en Microsoft 2004 - 2010

Introducción
Las vulnerabilidades son puntos débiles en el software que permiten que un atacante ponga en riesgo la integridad, disponibilidad o confidencialidad de ese software o de los datos que procesa. Algunas de las vulnerabilidades más graves permiten que los atacantes ejecuten un código de software de su elección, poniendo potencialmente en riesgo al equipo, su software y los datos que residen en ese equipo. La divulgación de una vulnerabilidad puede provenir de diversas fuentes, entre ellas los proveedores de software, proveedores de software de seguridad, investigadores de seguridad independientes y los creadores de software malintencionado (también conocido como “malware”).
Es imposible evitar por completo que se introduzcan vulnerabilidades durante el desarrollo de proyectos de software a gran escala. Mientras los seres humanos escriban código de software, siempre se cometerán errores que pueden provocar imperfecciones en el software: ningún software es perfecto. Algunas imperfecciones o errores simplemente evitan que el software funcione exactamente de la manera deseada, pero otros errores pueden causar vulnerabilidades. No todas las vulnerabilidades son iguales: hay algunas que los atacantes no pueden explotar porque mitigaciones específicas impiden que esos atacantes las usen. No obstante, es posible que un cierto porcentaje de las vulnerabilidades que existen en un software dado puedan explotarse.
Los datos de la National Vulnerability Database demuestran que la tendencia a largo plazo para las divulgaciones de vulnerabilidades en toda la industria se caracteriza por miles de divulgaciones de vulnerabilidades todos los años, la mayoría de las cuales son de alta gravedad y baja complejidad. Además, la mayoría de las divulgaciones de vulnerabilidades se producen en las aplicaciones, en lugar de en los sistemas operativos o exploradores web. Esta tendencia es preocupante porque esencialmente significa que hay miles de divulgaciones de vulnerabilidades de alta gravedad en aplicaciones, y la mayoría de ellas son relativamente fáciles de explotar. 


Descarga del Informe
Fecha de publicación: 29/03/2011

 

No hay comentarios: